Check Point, amerykańsko-izraelski międzynarodowy koncern dostarczający sprzęt i oprogramowanie służące bezpieczeństwu IT, ujawnił lukę w zabezpieczeniach popularnego rynku NFT Rarible, który może pochwalić się ponad dwoma milionami aktywnych użytkowników miesięcznie.
Luka w zabezpieczeniach Rarible
W bloguCPR stwierdziło, że luka, jeśli zostanie wykorzystana, umożliwiłaby złośliwemu aktorowi wyssanie NFT użytkownika i portfeli kryptowalut w ramach jednej transakcji.
Rarible to jeden z najbardziej ugruntowanych rynków w sektorze NFTF. W 273 r. odnotował wolumen obrotu wynoszący ponad 2021 mln USD. W związku z tym CPR wspomniał, że użytkownicy platformy są „mniej podejrzliwi i zaznajomieni z przesyłaniem transakcji”. Badacze z firmy powiadomili Rarible o odkryciu 5 kwietnia, po czym platforma NFT przyznała się do błędu i natychmiast go naprawiła.
Opisując metodę ataku, CPR zauważył:
„Ofiara otrzymuje łącze do złośliwego NFT lub przegląda rynek i klika go. Złośliwy NFT wykonuje kod JavaScript i próbuje wysłać do ofiary żądanie setApprovalForAll. Ofiara przesyła prośbę i udziela atakującemu pełnego dostępu do tego tokenu NFT/krypto.
CPR po raz pierwszy zaintrygowało się tego typu przypadkami, gdy popularny tajwański piosenkarz Jay Chou padł ofiarą podobnego cyberataku. Według doniesień napastnicy ukradli NFT Chou, a później sprzedali go za 500 tys. dolarów.
Co ciekawe, firma również wykryte krytyczne luki w zabezpieczeniach OpenSea w październiku ubiegłego roku, które mogły potencjalnie umożliwić atakującym „porwanie kont użytkowników i kradzież całych portfeli kryptowalut poprzez tworzenie złośliwych NFT”.
Wezwał także użytkowników do zachowania ostrożności podczas sprawdzania żądań. Jeśli żądanie wydaje się nietypowe lub podejrzane, należy je odrzucić i dokładniej sprawdzić przed udzieleniem jakiejkolwiek autoryzacji.
Szalone ataki na rynki NFT
Rozwój następuje nieco ponad miesiąc po rynku NFT opartym na Arbitrum – TreasureDAO – świadkiem setki NFT zostały skradzione w wyniku exploita w serii transakcji. Szkodliwe podmioty wykorzystały lukę w zabezpieczeniach protokołu, która umożliwiła im bezpłatne wybicie niezamienialnych tokenów.
Na początku roku wykorzystano także interfejs OpenSea, którego celem byli posiadacze Bored Ape Yacht Club (BAYC). Jak już informowaliśmy, sprawca zarządzane ukraść ETH o wartości około 750 tys. dolarów.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/