Check Point, americko-izraelská nadnárodní společnost, která poskytuje hardwarové a softwarové produkty pro bezpečnost IT, odhalila bezpečnostní chybu na populárním trhu NFT Rarible, který se může pochlubit více než dvěma miliony aktivních uživatelů měsíčně.
Bezpečnostní chyba na Rarible
V blogu, CPR uvedl, že chyba, pokud by byla zneužita, by umožnila zlomyslnému herci vysát NFT a kryptoměnové peněženky uživatele v jediné transakci.
Rarible je jedním z nejvíce zavedených trhů v sektoru NFTF. V roce 273 vykázala více než 2021 milionů USD v objemu obchodů. Proto CPR zmínilo, že uživatelé platformy jsou „méně podezřívaví a obeznámeni s odesíláním transakcí“. Výzkumníci z firmy upozornili Rarible na objev 5. dubna, načež platforma NFT uznala chybu a okamžitě ji opravila.
Při nastínění metody útoku CPR poznamenal:
„Oběť obdrží odkaz na škodlivý NFT nebo projde tržiště a klikne na něj. Škodlivý NFT spustí kód JavaScript a pokusí se oběti odeslat požadavek setApprovalForAll. Oběť odešle žádost a udělí útočníkovi plný přístup k tomuto NFT/krypto tokenu.“
CPR poprvé zaujaly tyto typy případů poté, co se populární tchajwanský zpěvák Jay Chou stal obětí podobného kybernetického útoku. Útočníci údajně ukradli Chouovu NFT a později ji prodali za 500 XNUMX $.
Zajímavé je, že firma také detekována kritické bezpečnostní zranitelnosti na OpenSea loni v říjnu, které mohly potenciálně umožnit útočníkům „ukrást uživatelské účty a ukrást celé kryptoměnové peněženky vytvářením škodlivých NFT“.
Rovněž vyzval uživatele, aby byli opatrní při kontrole toho, co je požadováno. Pokud se žádost jeví jako abnormální nebo podezřelá, měli by ji odmítnout a před poskytnutím jakéhokoli oprávnění ji dále zkontrolovat.
Nekontrolovatelné útoky na NFT Marketplaces
Vývoj přichází něco málo přes měsíc po trhu NFT založeném na Arbitrum – TreasureDAO – svědkem stovky NFT byly odcizeny při zneužití v sérii transakcí. Škodlivé entity zneužily bezpečnostní chybu v protokolu, která jim umožnila zdarma razit nezaměnitelné tokeny.
Na začátku roku byl také využit front-end OpenSea, který se zaměřil na držitele Bored Ape Yacht Club (BAYC). Jak již bylo dříve uvedeno, pachatel se podařilo ukrást ETH v hodnotě kolem 750 tisíc dolarů.
Binance zdarma 100 $ (exkluzivně): Použijte tento odkaz zaregistrovat se a získat 100 $ zdarma a 10% slevu na poplatky na Binance Futures první měsíc (podmínky).
Speciální nabídka PrimeXBT: Použijte tento odkaz registrujte se a zadejte kód POTATO50, abyste získali až 7,000 XNUMX $ na své vklady.
Zdroj: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/