Check Point, det amerikansk-israelske multinasjonale som leverer maskinvare- og programvareprodukter for IT-sikkerhet, har avslørt å identifisere en sikkerhetsfeil i den populære NFT-markedsplassen Rarible, som kan skilte med over to millioner månedlige aktive brukere.
Sikkerhetsfeil på Rarible
I en blogginnlegg, uttalte CPR at feilen, hvis den ble utnyttet, ville ha tillatt en ondsinnet aktør å sifon av en brukers NFT-er og kryptovaluta-lommebøker i en enkelt transaksjon.
Rarible er en av de mest etablerte markedsplassene i NFTF-sektoren. Den rapporterte mer enn $273 millioner i handelsvolum i 2021. Derfor nevnte HLR at plattformbrukere er «mindre mistenksomme og kjent med å sende inn transaksjoner». Forskere ved firmaet varslet Rarible om oppdagelsen 5. april, hvoretter NFT-plattformen erkjente feilen og fikset den umiddelbart.
Ved å skissere angrepsmetoden bemerket HLR:
"Ofret mottar en lenke til den ondsinnede NFT eller surfer på markedsplassen og klikker på den. Malicious NFT kjører JavaScript-kode og prøver å sende en setApprovalForAll-forespørsel til offeret. Offeret sender inn forespørselen og gir full tilgang til denne NFT-en/kryptotokenet til angriperen.»
HLR ble først fascinert av denne typen saker etter at en populær taiwansk sanger Jay Chou ble offer for et lignende nettangrep. Etter sigende stjal angripere Chous NFT og solgte den senere for $500k.
Interessant nok firmaet også oppdaget kritiske sikkerhetssårbarheter på OpenSea i oktober i fjor, som potensielt kunne ha gjort det mulig for angripere å "kapre brukerkontoer og stjele hele kryptovaluta-lommebøker ved å lage ondsinnede NFT-er."
Den oppfordret også brukere til å utvise forsiktighet mens de gjennomgår det som blir bedt om. Hvis forespørselen virker unormal eller mistenkelig, bør de avvise den og inspisere den nærmere før de gir noen form for autorisasjon.
Utbredte angrep på NFT-markedsplasser
Utviklingen kommer litt over en måned etter den Arbitrum-baserte NFT-markedsplassen – TreasureDAO – vitne hundrevis av NFT-er blir stjålet i en utnyttelse i en rekke transaksjoner. De ondsinnede enhetene utnyttet en sikkerhetssårbarhet i protokollen som gjorde det mulig for dem å lage ikke-fungible tokens gratis.
OpenSeas front-end ble også utnyttet i begynnelsen av året, som var rettet mot Bored Ape Yacht Club (BAYC)-innehavere. Som rapportert tidligere, gjerningsmannen fikk til å stjele rundt 750 XNUMX USD i ETH.
Binance gratis $100 (eksklusivt): Bruk denne lenken for å registrere deg og motta $100 gratis og 10 % rabatt på Binance Futures første måned (vilkår).
PrimeXBT Spesialtilbud: Bruk denne lenken for å registrere deg og angi POTATO50-koden for å motta opptil $7,000 XNUMX på innskuddene dine.
Kilde: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/