Check Point, американо-израелската мултинационална компания, която предоставя хардуерни и софтуерни продукти за ИТ сигурност, разкри идентифициране на пропуск в сигурността в популярния пазар на NFT Rarible, който може да се похвали с над два милиона активни потребители месечно.
Грешка в сигурността на Rarible
В блог пост, CPR заяви, че недостатъкът, ако бъде използван, би позволил на злонамерен актьор да източи NFT и портфейли за криптовалута на потребителя в една транзакция.
Rarible е един от най-утвърдените пазари в сектора на NFTF. Отчита над 273 милиона долара обем на търговия през 2021 г. Следователно CPR спомена, че потребителите на платформата са „по-малко подозрителни и запознати с изпращането на транзакции“. Изследователи от фирмата предупредиха Rarible за откритието на 5 април, след което платформата NFT призна грешката и го отстрани незабавно.
Очертавайки метода на атака, CPR отбеляза:
„Жертвата получава връзка към злонамерения NFT или разглежда пазара и кликва върху него. Злонамереният NFT изпълнява JavaScript код и се опитва да изпрати заявка setApprovalForAll до жертвата. Жертвата подава заявката и предоставя пълен достъп до този NFT/Crypto Token на нападателя."
CPR за първи път се заинтригува от този тип случаи, след като популярният тайвански певец Джей Чоу стана жертва на подобна кибератака. Съобщава се, че нападателите откраднаха NFT на Chou и по-късно го продадоха за $500 XNUMX.
Интересното е, че фирмата също Установихме критични уязвимости в сигурността на OpenSea миналия октомври, които биха могли потенциално да дадат възможност на нападателите да „откраднат потребителски акаунти и да откраднат цели портфейли за криптовалута чрез изработване на злонамерени NFT“.
Той също така призова потребителите да бъдат внимателни, докато преглеждат това, което се иска. Ако искането изглежда необичайно или подозрително, те трябва да го отхвърлят и да го проверят допълнително, преди да предоставят какъвто и да е вид разрешение.
Безпрецедентни атаки върху пазарите на NFT
Развитието идва малко повече от месец след базирания на Arbitrum NFT пазар – TreasureDAO – свидетел стотици NFT са откраднати при експлойт в поредица от транзакции. Злонамерените субекти използваха уязвимост в сигурността в протокола, която им позволи да копират незаменими токени безплатно.
Предният край на OpenSea също беше използван в началото на годината, което беше насочено към притежателите на Bored Ape Yacht Club (BAYC). Както беше съобщено по-рано, извършителят управлявана да откраднат ETH на стойност около $750 XNUMX.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/