Forskere ved cybersikkerhetsprogramvarefirmaet Check Point har identifisert en sårbarhet i Rarible NFT-markedet. Hundretusenvis av de rundt to millioner aktive månedlige brukerne ville ha mistet NFT-ene sine hvis hackeren hadde utført det.
Check Points ansvarlige avsløring
"Et vellykket angrep ville ha kommet fra en ondsinnet NFT på selve Raribles markedsplass, der brukere er mindre mistenksomme og kjent med å sende inn transaksjoner," bemerket Check Point Research.
Problemet med "setApprovalForAll"-funksjonen, en del av NFT EIP-721-standarden, er at den gir full kontroll over NFT-eiendelene til en annen part. Phishing-angrep kan utformes for å stjele eiendelene til ofrene deres. De kan overbevise dem om å signere en transaksjonsforespørsel som ser ut som den er fra en legitim kilde.
På grunn av et sikkerhetsproblem i Rarible, kunne brukere laste opp mediefiler på opptil 100 MB uten å sjekke dem for potensielt skadelig innhold. Forskere fra Check Point utnyttet dette problemet ved å lage et SVG-bilde som inneholdt en ondsinnet JavaScript-nyttelast.
Systemet vil kjøre en kode hvis målet klikker på NFT-bildet eller IPFS-koblingen. Utløs derfor en transaksjonsforespørsel i nettleseren deres. Hvis målet ikke forstår transaksjonsdetaljene, kan de godkjenne forespørselen. Det lar angriperen få tilgang til hele samlingen deres. Angriperen ville deretter bruke "transferFrom"-handlingen for å stjele NFT-ene og overføre dem til lommeboken deres. Merk at denne handlingen ikke kan reverseres.
Plattformen HLR varslet Rarible om problemet 5. april. Selskapet erkjente umiddelbart og fikset problemet.
NFT-tyveri er en trussel
Oded Vanunu, en sikkerhetsforsker ved Check Point Software, sa at selskapet ble interessert i dette angrepet etter at den taiwanske sangeren Jay Chou ble et offer. Chou's BoredApe #3738 NFT ble sveipet via en uhyggelig transaksjon i begynnelsen av februar.
"Når vi så at denne NFT ble stjålet, oppmuntret det oss til å undersøke videre," sa Vanunu. Han la også til at en slik sårbarhet kan være mulig på mange andre plattformer. Sårbarheten ble raskt fikset av Rarible, som fjernet muligheten for å laste opp SVG-filer. Det avsluttet det ondsinnede NFT-angrepsalternativet, la Vanunu til.
Ifølge Vanunu kunne enhver bruker på plattformen ha utløst en sikkerhetsfeil. Han estimerte imidlertid ikke hvor mye som kunne ha gått tapt. Et lignende angrep på Arthur Cheongs lommebok resulterte i tap på over 1.86 millioner dollar. Derfor bør brukere alltid være flittige når de godkjenner forespørsler på NFT-plattformer. De bør også bruke Etherscans forespørselssporer når det er mulig.
Behovet for å beskytte eiendelene dine
Det er viktig å merke seg at dette problemet ikke er unikt for Rarible, ettersom Check Point oppdaget en lignende feil på OpenSea i fjor. Problemet med NFT-transaksjonsstandarden er at den gjør det vanskelig for eiendelinnehavere å fastslå deres autentisitet.
Derfor bør du undersøke alt du blir bedt om å signere nøye for å finne ut hva det innebærer. Unngå også å signere noe hvis du er usikker på hva det innebærer. Det anbefales at brukere ser på sine tidligere token-godkjenninger og tilbakekaller de som virker uredelige ved å bruke denne token-godkjenningskontrollen.
På grunn av arten av disse angrepene kan de ta lengre tid å fullføre og kan påvirke overføringen av eiendeler. Ettersom blokkjedeteknologien fortsetter å utvikle seg, må investorer være mer forsiktige når de beskytter eiendelene sine.
Open Sea er i trøbbel
I følge to saksøkere klarte ikke OpenSea å adressere sikkerhetssårbarheter som tillot hackere å stjele ikke-fungible tokens (NFT). Unnlatelsen av å løse disse problemene forårsaket hundretusenvis av dollar i skader.
En annen bruker klaget over at OpenSea legger plikten på brukerne til å beskytte NFT-ene deres. Det kommer mens NFT-scenen fortsetter å være plaget av svindel og svindel.
Søksmålene mot OpenSea av de to saksøkerne kan danne presedens når det gjelder behandlingen av NFT-relaterte krav. I mangel av sentralisert myndighet vil rettssystemet være gunstig i behandlingen av disse sakene.
Kilde: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/