Изследователи от фирмата за софтуер за киберсигурност Check Point са идентифицирали уязвимост в пазара на Rarible NFT. Стотици хиляди от приблизително два милиона активни месечни потребители щяха да загубят своите NFT, ако хакерът го беше изпълнил.
Отговорното разкриване на Check Point
„Успешна атака би дошла от злонамерен NFT в самия пазар на Rarible, където потребителите са по-малко подозрителни и запознати с изпращането на транзакции“, отбелязва Check Point Research.
Проблемът с функцията „setApprovalForAll“, част от стандарта NFT EIP-721, е, че тя дава пълен контрол върху NFT активите на друга страна. Фишинг атаките могат да бъдат предназначени да откраднат активите на жертвите си. Те могат да ги убедят да подпишат заявка за транзакция, която изглежда, че е от легитимен източник.
Поради проблем със сигурността в Rarible, потребителите могат да качват медийни файлове до 100MB, без да ги проверяват за потенциално злонамерено съдържание. Изследователи от Check Point използваха този проблем, като създадоха SVG изображение, което съдържа злонамерен JavaScript полезен товар.
Системата ще изпълни код, ако целта щракне върху NFT изображението или IPFS връзката. Следователно, задействайте заявка за транзакция в техния браузър. Ако целта не разбира подробностите за транзакцията, тя може да одобри заявката. Тя позволява на нападателя да получи достъп до цялата им колекция. След това нападателят ще използва действието „transferFrom“, за да открадне NFT и да ги прехвърли в портфейла си. Имайте предвид, че това действие е необратимо.
Платформата CPR уведоми Rarible за проблема на 5 април. Компанията незабавно потвърди и отстрани проблема.
NFT Кражбата е заплаха
Одед Вануну, изследовател по сигурността в Check Point Software, каза, че компанията се заинтересувала от тази атака, след като тайванският певец Джей Чоу станал жертва. Chou's BoredApe #3738 NFT беше изтеглен чрез злобна транзакция в началото на февруари.
„След като видяхме, че този NFT е откраднат, това ни стимулира да разследваме допълнително“, каза Вануну. Той също така добави, че подобна уязвимост може да бъде възможна на много други платформи. Уязвимостта беше бързо отстранена от Rarible, което премахна опцията за качване на SVG файлове. Това прекрати опцията за злонамерена NFT атака, добави Вануну.
Според Vanunu всеки потребител на платформата би могъл да предизвика пропуск в сигурността. Той обаче не прецени колко може да бъде загубен. Подобна атака срещу портфейла на Артър Чеонг доведе до загуба от над 1.86 милиона долара. Следователно потребителите винаги трябва да бъдат усърдни, когато одобряват заявки на NFT платформи. Те също така трябва да използват тракера на заявки на Etherscan, когато е възможно.
Необходимостта от защита на вашите активи
Важно е да се отбележи, че този проблем не е уникален за Rarible, тъй като Check Point откри подобен недостатък в OpenSea миналата година. Проблемът със стандарта за транзакции NFT е, че затруднява притежателите на активи да определят тяхната автентичност.
Следователно трябва внимателно да разгледате всичко, което трябва да подпишете, за да установите какво включва. Също така избягвайте да подписвате каквото и да е, ако не сте сигурни какво включва. Препоръчва се потребителите да преглеждат предишните си одобрения на токени и да отменят тези, които изглеждат измамни, като използват тази проверка за одобрение на токени.
Поради естеството на тези атаки, завършването им може да отнеме повече време и може да повлияе на прехвърлянето на активи. Тъй като блокчейн технологията продължава да се развива, инвеститорите трябва да бъдат по-предпазливи, когато защитават своите активи.
Отворено море е в беда
Според двама ищци OpenSea не успява да се справи с уязвимостите в сигурността, които позволяват на хакерите да откраднат незаменими токени (NFT). Невъзможността за решаване на тези проблеми причини щети за стотици хиляди долари.
Друг потребител се оплака, че OpenSea поставя тежестта на своите потребители да защитават своите NFT. Това идва, когато NFT сцената продължава да бъде измъчвана от измами и измами.
Съдебните дела, заведени срещу OpenSea от двамата ищци, биха могли да създадат прецедент по отношение на обработката на искове, свързани с NFT. При липса на централизиран орган, съдебната система ще бъде от полза при разглеждането на тези дела.
Източник: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/