NFTs، الرموز غير القابلة للاستبدال، هي أصول رقمية تحصر الملكية بعناصر وأشياء في العالم الحقيقي مثل الفن والموسيقا ومقاطع الفيديو وغيرها الكثير.
وعلى الرغم أنها تعمل وفق تقنية Blockchain مثل العملات المشفرة، إلا أنها لا تعتبر عملات.
تعتبر NFTs قابلة للمضاربة بشدة، وعادة ما يتم بيعها بملايين الدولارات، إلا أنه ليس من الضروري أن تنال رضى كل المستثمرين. بدءًا من رسومات الميمز الشهيرة، وصولاً للرسومات المتحركة بالبيكسل ارتفعت شعبية الرموز غير القابلة للاستبدال مؤخرًا.
لكن، ولسوء الحظ، لم تترك هذه المرحلة دون هجمات استغلال.
اختراق حسابات المستخدمين في OpenSea NFT
أفاد تقرير Check Point Research (CPR) يوم الأربعاء عن اختراق حسابات المستخدمين في سوق OpenSea NFT.
حيث أدت بعض الأخطاء في البروتوكول الخاص بـNFTs إلى اختراق محافظ المستثمرين وسرقة ما فيها، ونقل رموز NFTs الضارة أيضاً.
ومن المقرر أن يبدأ التحقيق قريبًا جدًا وفق التقرير، ويعتقد أن عملية السرقة تمت عبر أيردروب مجاني للرموز غير القابلة للاستبدال، استُخدم كمنفذ لاختراق المحافظ وسرقة ما فيها.
هاكرز يستهدفون NFTs للقيام بأنشطة مريبة.
كيف اخترق الهاكرز محافظ NFTs
لم يكن أساس المشكلة عبر الـ NFTs أو الأيردروب المجاني فقط، بل عبر إرسال NFTs للضحية ثم تأتي رسالة مرافقة تطلب إذنًا للاتصال بالمحفظة.
إضافة لذلك، ظهرت رسالة تحمل طلب إذن ثانوي عاجل، وعند الموافقة عليه، يتمكن المخترقون من الوصول للمحفظة ونهب ما فيها.
أمّا بالنسبة لموقف OpenSea، فقد مكّن خطأ الأمان المرتكب في بروتوكول الرموز غير القابلة للاستبدال، من تحميل ملف SVG يحتوي على مخزون من الملفات الضارة.
وتعليقًا على الموقف قالت CRP أنه بعد النقر على الصورة من طرف ثالث طلب من المستخدمين الحصول على أذون للوصول لمحافظهم، وذكرت أن مثل هذا الطلب بعيد عن روتين OpenSea المعتاد.
وذلك لأنه يختلف تمامًا عن الخدمات التي يقدمها OpenSea، والتي تتمثل في شراء عنصر أو بيعه أو تقديم العروض.
ومع ذلكـ قد يتم إغراء المستخدمين بالحصول على اتصال، وذلك لأن مجال تشغيل المعاملات يأتي من OpenSea، ومن المحتمل أن يحدث ذلك في عمليات اختراق محافظ NFTs الأخرى.
في 26 سبتمبر، كشف فريق CRP عن جميع النتائج التي توصل إليها بالتحقيق، وأدى ذلك لتحرك سريع خلال ساعات لتحديد الأولويات والتحقق من العيوب والاختراقات الأمنية واقتراح حلول.
ثم أصدرت OpenSea بيانًا أعربت فيه عن شكرها وامتنانها لفريق CRP الذي لفت انتباههم إلى الثغرة. كما أقر البيان بجهود الفرق التي انضمت إليهم خلال التحقيق وساهمت بتنفيذ الحل بسرعة. وأيضًا ذكرت OpenSea أن الهجمات اعتمدت على الحصول على موافقة المستخدمين عبر مزودي المحافظ الخارجية.
وبالتالي، هناك احتمال أن يقوم المستخدمين بربط محافظهم وإعطاء التفويض للملفات والمعاملات الضارة.