Badacze z firmy Check Point zajmującej się oprogramowaniem zapewniającym bezpieczeństwo cybernetyczne zidentyfikowali lukę w zabezpieczeniach rynku Rarible NFT. Setki tysięcy z około dwóch milionów aktywnych użytkowników miesięcznie utraciłoby swoje NFT, gdyby haker je wykonał.
Odpowiedzialne ujawnianie informacji przez Check Point
„Udany atak mógłby nastąpić ze złośliwego narzędzia NFT znajdującego się na samym rynku Rarible, gdzie użytkownicy są mniej podejrzliwi i zaznajomieni z przesyłaniem transakcji” – zauważyło Check Point Research.
Problem z funkcją „setApprovalForAll”, stanowiącą część standardu NFT EIP-721, polega na tym, że zapewnia ona pełną kontrolę nad zasobami NFT innej stronie. Ataki phishingowe mogą mieć na celu kradzież majątku ofiar. Mogą ich przekonać do podpisania żądania transakcji, które wygląda tak, jakby pochodziło z legalnego źródła.
Ze względu na problem bezpieczeństwa w Rarible użytkownicy mogli przesyłać pliki multimedialne o rozmiarze do 100 MB bez sprawdzania ich pod kątem potencjalnie złośliwej zawartości. Badacze z Check Point wykorzystali ten problem, tworząc obraz SVG zawierający złośliwy ładunek JavaScript.
System wykona kod, jeśli cel kliknie obraz NFT lub łącze IPFS. Dlatego też wywołaj żądanie transakcji w swojej przeglądarce. Jeśli cel nie rozumie szczegółów transakcji, może zatwierdzić żądanie. Umożliwia atakującemu dostęp do całej kolekcji. Osoba atakująca użyje następnie akcji „transferFrom”, aby ukraść NFT i przenieść je do swojego portfela. Należy pamiętać, że tej akcji nie można cofnąć.
Platforma CPR powiadomiła Rarible o problemie 5 kwietnia. Firma natychmiast potwierdziła i naprawiła problem.
Kradzież NFT jest zagrożeniem
Oded Vanunu, badacz bezpieczeństwa w Check Point Software, powiedział, że firma zainteresowała się tym atakiem po tym, jak ofiarą padł tajwański piosenkarz Jay Chou. BoredApe #3738 NFT Chou został przechwycony w wyniku nikczemnej transakcji na początku lutego.
„Kiedy dowiedzieliśmy się, że ten NFT został skradziony, zachęciło nas to do dalszego dochodzenia” – powiedział Vanunu. Dodał również, że taka luka może występować na wielu innych platformach. Luka została szybko naprawiona przez Rarible, który usunął opcję przesyłania plików SVG. Zakończył opcję złośliwego ataku NFT, dodał Vanunu.
Według Vanunu każdy użytkownik platformy mógł wywołać lukę w zabezpieczeniach. Nie oszacował jednak, ile mogło stracić. Podobny atak na portfel Arthura Cheonga spowodował stratę ponad 1.86 miliona dolarów. Dlatego użytkownicy powinni zawsze zachować ostrożność podczas zatwierdzania żądań na platformach NFT. Powinni także, jeśli to możliwe, korzystać z narzędzia do śledzenia żądań Etherscan.
Konieczność ochrony swojego majątku
Należy zauważyć, że ten problem nie dotyczy wyłącznie Rarible, ponieważ firma Check Point odkryła podobną wadę w OpenSea w zeszłym roku. Problem ze standardem transakcji NFT polega na tym, że posiadaczom aktywów trudno jest określić ich autentyczność.
Dlatego powinieneś dokładnie sprawdzić wszystko, co masz podpisać, aby upewnić się, czego dotyczy. Unikaj także podpisywania czegokolwiek, jeśli nie masz pewności, czego to dotyczy. Zaleca się, aby użytkownicy przejrzeli swoje poprzednie zatwierdzenia tokenów i odwołali te, które wydają się fałszywe, korzystając z tego narzędzia do sprawdzania zatwierdzeń tokenów.
Ze względu na charakter tych ataków ich wykonanie może zająć więcej czasu i może mieć wpływ na transfer zasobów. Ponieważ technologia blockchain stale ewoluuje, inwestorzy muszą zachować większą ostrożność podczas ochrony swoich aktywów.
Otwarte Morze ma kłopoty
Według dwóch powodów OpenSea nie załatało luk w zabezpieczeniach, które umożliwiały hakerom kradzież niewymiennych tokenów (NFT). Brak rozwiązania tych problemów spowodował szkody rzędu setek tysięcy dolarów.
Inny użytkownik skarżył się, że OpenSea nakłada na swoich użytkowników obowiązek ochrony ich NFT. Dzieje się tak, gdy scena NFT jest nadal nękana oszustwami i oszustwami.
Pozwy wniesione przeciwko OpenSea przez dwóch powodów mogą stanowić precedens w zakresie rozpatrywania roszczeń związanych z NFT. W przypadku braku scentralizowanego organu system sądowy będzie korzystny w rozpatrywaniu takich spraw.
Źródło: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/