A Check Point, az IT-biztonsághoz hardver- és szoftvertermékeket kínáló amerikai-izraeli multinacionális vállalat felfedte, hogy biztonsági hibát azonosított a népszerű NFT-piacon, a Rarible-n, amely több mint kétmillió aktív felhasználóval büszkélkedhet havonta.
Biztonsági hiba a Rarible-n
egy blogbejegyzés, a CPR kijelentette, hogy a hiba kihasználása esetén egy rosszindulatú szereplő egyetlen tranzakcióval elszívhatta volna a felhasználó NFT-jét és kriptovaluta pénztárcáját.
A Rarible az egyik legmegbízhatóbb piac az NFTF szektorban. Több mint 273 millió dolláros kereskedési volumenről számolt be 2021-ben. Ezért a CPR megemlítette, hogy a platform felhasználói „kevésbé gyanakvóak és jártasak a tranzakciók benyújtásában”. A cég kutatói április 5-én értesítették Rarible-t a felfedezésről, amit követően az NFT platform elismerte a hibát, és azonnal kijavította.
A támadási módszert felvázolva a CPR megjegyezte:
„Az áldozat kap egy linket a rosszindulatú NFT-re, vagy böngészi a piacteret, és rákattint. A rosszindulatú NFT JavaScript kódot hajt végre, és megpróbál egy setApprovalForAll kérést küldeni az áldozatnak. Az áldozat benyújtja a kérést, és teljes hozzáférést biztosít a támadónak ehhez az NFT-hez/Crypto Tokenhez.”
A CPR először azután vált érdekeltté az ilyen típusú esetek iránt, hogy egy népszerű tajvani énekes, Jay Chou hasonló kibertámadás áldozata lett. Állítólag a támadók ellopták Chou NFT-jét, majd később 500 ezer dollárért eladták.
Érdekes módon a cég is észlelt kritikus biztonsági rések az OpenSea-n tavaly októberben, amelyek potenciálisan lehetővé tehették volna a támadók számára, hogy „felhasználói fiókokat lopjanak el, és teljes kriptovaluta pénztárcákat lopjanak el rosszindulatú NFT-k létrehozásával”.
Arra is felszólította a felhasználókat, hogy legyenek körültekintőek a kérések áttekintése során. Ha a kérés szokatlannak vagy gyanúsnak tűnik, el kell utasítaniuk, és tovább kell vizsgálniuk, mielőtt bármilyen felhatalmazást megadnának.
Tomboló támadások az NFT piactereken
A fejlesztés valamivel több mint egy hónappal az Arbitrum-alapú NFT piactér – TreasureDAO – után érkezik. tanúi több száz NFT-t lopnak el egy sor tranzakció során. A rosszindulatú entitások kihasználták a protokollban található biztonsági rést, amely lehetővé tette számukra, hogy ingyenesen vertessenek nem helyettesíthető tokeneket.
Az év elején az OpenSea front-endjét is kihasználták, ami a Bored Ape Yacht Club (BAYC) tulajdonosait célozta meg. Mint arról korábban beszámoltunk, az elkövető sikerült ellopni körülbelül 750 ezer dollár értékű ETH-t.
Binance ingyenes 100 USD (exkluzív): Használja ezt a linket regisztrálni, és 100 dollár ingyenes és 10% kedvezményt kap a Binance Futures első hónapjában (feltételek).
PrimeXBT különleges ajánlat: Használja ezt a linket regisztrálni és beírni a POTATO50 kódot, hogy akár 7,000 dollárt is kaphasson befizetései után.
Forrás: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/