Check Point, americko-izraelská nadnárodná spoločnosť, ktorá poskytuje hardvérové a softvérové produkty pre IT bezpečnosť, odhalila bezpečnostnú chybu na populárnom trhu NFT Rarible, ktorý sa môže pochváliť viac ako dvoma miliónmi aktívnych používateľov mesačne.
Bezpečnostná chyba na Rarible
V blog post, CPR uviedla, že ak by sa chyba využila, umožnila by zlomyseľnému aktérovi odčerpať používateľove NFT a kryptomenové peňaženky v jedinej transakcii.
Rarible je jedným z najuznávanejších trhov v sektore NFTF. V roku 273 vykázala viac ako 2021 miliónov dolárov v objeme obchodov. Preto CPR uviedla, že používatelia platformy sú „menej podozrievaví a oboznámení s odosielaním transakcií“. Výskumníci z firmy upozornili Rarible na objav 5. apríla, po čom platforma NFT uznala chybu a okamžite ju opravila.
Pri opise metódy útoku CPR poznamenal:
„Obeť dostane odkaz na škodlivý NFT alebo si prezerá trh a klikne naň. Škodlivý NFT spustí kód JavaScript a pokúsi sa poslať obeti požiadavku setApprovalForAll. Obeť odošle žiadosť a udelí útočníkovi úplný prístup k tomuto NFT/krypto tokenu.“
CPR prvýkrát zaujali tieto typy prípadov po tom, čo sa populárny taiwanský spevák Jay Chou stal obeťou podobného kybernetického útoku. Útočníci údajne ukradli Chouov NFT a neskôr ho predali za 500 XNUMX dolárov.
Zaujímavé je, že aj firma zistené kritické bezpečnostné zraniteľnosti na OpenSea v októbri minulého roka, ktoré mohli potenciálne umožniť útočníkom „uniesť používateľské účty a ukradnúť celé kryptomenové peňaženky vytvorením škodlivých NFT“.
Používateľov tiež vyzval, aby boli opatrní pri kontrole toho, čo sa požaduje. Ak sa žiadosť javí ako abnormálna alebo podozrivá, mali by ju odmietnuť a pred poskytnutím akéhokoľvek oprávnenia ďalej preskúmať.
Nekontrolovateľné útoky na NFT Marketplaces
Vývoj prichádza o niečo viac ako mesiac po trhu NFT založenom na Arbitrum – TreasureDAO – svedkami stovky NFT ukradnutých pri zneužití v sérii transakcií. Škodlivé entity zneužili bezpečnostnú chybu v protokole, ktorá im umožnila raziť nezameniteľné tokeny zadarmo.
Začiatkom roka bol tiež využitý front-end OpenSea, ktorý sa zameral na držiteľov Bored Ape Yacht Club (BAYC). Ako už bolo uvedené, páchateľ managed ukradnúť ETH v hodnote okolo 750 XNUMX $.
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/