Forskere hos cybersikkerhedssoftwarefirmaet Check Point har identificeret en sårbarhed på Rarible NFT-markedet. Hundredtusindvis af dets omkring to millioner aktive månedlige brugere ville have mistet deres NFT'er, hvis hackeren havde eksekveret det.
Check Points ansvarlige offentliggørelse
"Et vellykket angreb ville være kommet fra en ondsindet NFT på selve Raribles markedsplads, hvor brugere er mindre mistænksomme og fortrolige med at indsende transaktioner," bemærkede Check Point Research.
Problemet med "setApprovalForAll"-funktionen, en del af NFT EIP-721-standarden, er, at den giver fuld kontrol over NFT-aktiverne til en anden part. Phishing-angreb kan designes til at stjæle deres ofres aktiver. De kan overbevise dem om at underskrive en transaktionsanmodning, der ser ud til at være fra en legitim kilde.
På grund af et sikkerhedsproblem i Rarible kunne brugere uploade mediefiler på op til 100 MB uden at tjekke dem for potentielt skadeligt indhold. Forskere fra Check Point udnyttede dette problem ved at oprette et SVG-billede, der indeholdt en skadelig JavaScript-nyttelast.
Systemet vil udføre en kode, hvis målet klikker på NFT-billedet eller IPFS-linket. Udløs derfor en transaktionsanmodning i deres browser. Hvis målet ikke forstår transaktionens detaljer, kan de godkende anmodningen. Det giver angriberen adgang til hele deres samling. Angriberen ville derefter bruge "transferFrom"-handlingen til at stjæle NFT'erne og overføre dem til deres pung. Bemærk, at denne handling ikke er reversibel.
Platformen CPR underrettede Rarible om problemet den 5. april. Virksomheden erkendte og fiksede straks problemet.
NFT-tyveri er en trussel
Oded Vanunu, en sikkerhedsforsker hos Check Point Software, sagde, at virksomheden blev interesseret i dette angreb, efter at den taiwanske sanger Jay Chou blev et offer. Chou's BoredApe #3738 NFT blev swipet via en ufarlig transaktion i begyndelsen af februar.
"Når vi så, at denne NFT blev stjålet, gav det os et incitament til at undersøge nærmere," sagde Vanunu. Han tilføjede også, at en sådan sårbarhed kunne være mulig på mange andre platforme. Sårbarheden blev hurtigt rettet af Rarible, som fjernede muligheden for at uploade SVG-filer. Det afsluttede den ondsindede NFT-angrebsmulighed, tilføjede Vanunu.
Ifølge Vanunu kunne enhver bruger på platformen have udløst en sikkerhedsfejl. Han estimerede dog ikke, hvor meget der kunne være gået tabt. Et lignende angreb på Arthur Cheongs tegnebog resulterede i tab på over 1.86 millioner dollars. Derfor bør brugere altid være omhyggelige, når de godkender anmodninger på NFT-platforme. De bør også bruge Etherscans anmodningssporing, når det er muligt.
Behovet for at beskytte dine aktiver
Det er vigtigt at bemærke, at dette problem ikke er unikt for Rarible, da Check Point opdagede en lignende fejl på OpenSea sidste år. Problemet med NFT-transaktionsstandarden er, at det gør det vanskeligt for aktivindehavere at bestemme deres ægthed.
Derfor bør du undersøge alt, hvad du bliver bedt om at underskrive omhyggeligt for at finde ud af, hvad det indebærer. Undgå også at skrive under på noget, hvis du er usikker på, hvad det indebærer. Det anbefales, at brugere ser deres tidligere token-godkendelser og tilbagekalder dem, der virker svigagtige, ved at bruge denne token-godkendelseskontrol.
På grund af arten af disse angreb kan de tage længere tid at gennemføre og kan påvirke overførslen af aktiver. Da blockchain-teknologien fortsætter med at udvikle sig, skal investorer være mere forsigtige, når de beskytter deres aktiver.
Open Sea er i problemer
Ifølge to sagsøgere formåede OpenSea ikke at løse sikkerhedssårbarheder, der gjorde det muligt for hackere at stjæle ikke-fungible tokens (NFT'er). Manglen på at løse disse problemer forårsagede hundredtusindvis af dollars i skader.
En anden bruger klagede over, at OpenSea pålægger sine brugere at beskytte deres NFT'er. Det kommer, mens NFT-scenen fortsat er plaget af svindel og svindel.
De retssager, som de to sagsøgere har anlagt mod OpenSea, kan skabe præcedens vedrørende behandlingen af NFT-relaterede krav. I mangel af en centraliseret myndighed vil retssystemet være gavnligt i behandlingen af disse sager.
Kilde: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/