Výskumníci z kybernetického bezpečnostného softvéru firmy Check Point identifikovali zraniteľnosť na trhu Rarible NFT. Státisíce z jeho zhruba dvoch miliónov aktívnych používateľov mesačne by prišli o svoje NFT, ak by to hacker vykonal.
Zodpovedné zverejnenie spoločnosti Check Point
„Úspešný útok by pochádzal zo škodlivého NFT na samotnom trhu Rarible, kde sú používatelia menej podozrievaví a oboznámení s odosielaním transakcií,“ poznamenal Check Point Research.
Problém s funkciou „setApprovalForAll“, ktorá je súčasťou štandardu NFT EIP-721, spočíva v tom, že poskytuje úplnú kontrolu nad aktívami NFT inej strane. Phishingové útoky môžu byť navrhnuté tak, aby ukradli aktíva ich obetí. Môžu ich presvedčiť, aby podpísali žiadosť o transakciu, ktorá vyzerá, že pochádza z legitímneho zdroja.
Kvôli bezpečnostnému problému v Rarible mohli používatelia nahrávať mediálne súbory s veľkosťou až 100 MB bez toho, aby v nich museli kontrolovať potenciálne škodlivý obsah. Výskumníci z Check Point využili tento problém vytvorením obrázka SVG, ktorý obsahoval škodlivý kód JavaScript.
Systém spustí kód, ak cieľ klikne na obrázok NFT alebo odkaz IPFS. Preto spustite požiadavku na transakciu v ich prehliadači. Ak cieľ nerozumie detailom transakcie, môže žiadosť schváliť. Umožňuje útočníkovi prístup k celej ich zbierke. Útočník potom použije akciu „prenos z“ na ukradnutie NFT a ich presun do svojej peňaženky. Upozorňujeme, že táto akcia je nevratná.
Platforma CPR upozornila Rarible na problém 5. apríla. Spoločnosť okamžite uznala a opravila problém.
Krádež NFT je hrozba
Oded Vanunu, bezpečnostný výskumník v Check Point Software, uviedol, že spoločnosť sa o tento útok začala zaujímať po tom, čo sa obeťou stal taiwanský spevák Jay Chou. Chou's BoredApe #3738 NFT bol napadnutý prostredníctvom nekalej transakcie na začiatku februára.
„Keď sme videli, že tento NFT bol ukradnutý, podnietilo nás to k ďalšiemu vyšetrovaniu,“ povedal Vanunu. Dodal tiež, že takáto zraniteľnosť by mohla byť možná na mnohých iných platformách. Zraniteľnosť bola rýchlo opravená službou Rarible, ktorá odstránila možnosť nahrávania súborov SVG. Ukončila možnosť škodlivého útoku NFT, dodal Vanunu.
Podľa Vanunu mohol každý používateľ platformy spustiť bezpečnostnú chybu. Neodhadol však, koľko sa mohlo stratiť. Podobný útok na peňaženku Arthura Cheonga mal za následok stratu viac ako 1.86 milióna dolárov. Používatelia by preto mali byť vždy pozorní pri schvaľovaní žiadostí na platformách NFT. Kedykoľvek je to možné, mali by tiež používať nástroj na sledovanie žiadostí Etherscan.
Potreba chrániť svoj majetok
Je dôležité poznamenať, že tento problém nie je jedinečný pre Rarible, keďže Check Point minulý rok objavil podobnú chybu na OpenSea. Problém transakčného štandardu NFT spočíva v tom, že držiteľom aktív sťažuje určenie ich pravosti.
Preto by ste mali dôkladne preskúmať všetko, čo sa od vás požaduje podpísať, aby ste zistili, čo to zahŕňa. Tiež sa vyhýbajte podpisu, ak si nie ste istí, čo to zahŕňa. Odporúča sa, aby si používatelia pozreli svoje predchádzajúce schválenia tokenov a odvolali tie, ktoré sa zdajú byť podvodné, pomocou tejto kontroly schválenia tokenov.
Vzhľadom na povahu týchto útokov môže ich dokončenie trvať dlhšie a môžu ovplyvniť prevod aktív. Keďže technológia blockchain sa neustále vyvíja, investori musia byť pri ochrane svojich aktív opatrnejší.
Otvorené more je v problémoch
Podľa dvoch žalobcov OpenSea nedokázala vyriešiť bezpečnostné slabiny, ktoré umožnili hackerom ukradnúť nezameniteľné tokeny (NFT). Neriešenie týchto problémov spôsobilo škody v stovkách tisíc dolárov.
Ďalší používateľ sa sťažoval, že OpenSea kladie na svojich používateľov povinnosť chrániť svoje NFT. Prichádza, keď je scéna NFT naďalej sužovaná podvodmi a podvodmi.
Žaloby, ktoré proti OpenSea podali dvaja žalobcovia, by mohli vytvoriť precedens v súvislosti s riešením nárokov súvisiacich s NFT. V prípade absencie centralizovaného orgánu bude pri riešení týchto prípadov prínosom súdny systém.
Zdroj: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/