Check Point, det amerikansk-israelske multinationale, der leverer hardware- og softwareprodukter til it-sikkerhed, har afsløret at identificere en sikkerhedsfejl på den populære NFT-markedsplads Rarible, som kan prale af over to millioner månedlige aktive brugere.
Sikkerhedsfejl på Rarible
I en blogindlæg, udtalte CPR, at fejlen, hvis den blev udnyttet, ville have gjort det muligt for en ondsindet aktør at fjerne en brugers NFT'er og cryptocurrency tegnebøger i en enkelt transaktion.
Rarible er en af de mest etablerede markedspladser i NFTF-sektoren. Det rapporterede mere end $273 millioner i handelsvolumen i 2021. Derfor nævnte CPR, at platformbrugere er "mindre mistænksomme og fortrolige med at indsende transaktioner." Forskere ved firmaet advarede Rarible om opdagelsen den 5. april, hvorefter NFT-platformen erkendte fejlen og rettede den med det samme.
Ved at beskrive angrebsmetoden bemærkede CPR:
"Ofret modtager et link til den ondsindede NFT eller gennemser markedspladsen og klikker på den. Malicious NFT udfører JavaScript-kode og forsøger at sende en setApprovalForAll-anmodning til offeret. Offer indsender anmodningen og giver fuld adgang til denne NFT's/Crypto Token til angriberen."
HLR blev først fascineret af denne type sager, efter at en populær taiwansk sanger Jay Chou blev offer for et lignende cyberangreb. Efter sigende stjal angribere Chous NFT og solgte den senere for $500k.
Interessant nok også firmaet opdaget kritiske sikkerhedssårbarheder på OpenSea i oktober sidste år, hvilket potentielt kunne have gjort det muligt for angribere at "kapre brugerkonti og stjæle hele cryptocurrency-punge ved at lave ondsindede NFT'er."
Det opfordrede også brugere til at udvise forsigtighed, mens de gennemgår, hvad der anmodes om. Hvis anmodningen virker unormal eller mistænkelig, bør de afvise den og inspicere den yderligere, før de giver nogen form for tilladelse.
Udbredte angreb på NFT-markedspladser
Udviklingen kommer lidt over en måned efter Arbitrum-baseret NFT-markedsplads – TreasureDAO – vidne hundredvis af NFT'er bliver stjålet i en udnyttelse i en række transaktioner. De ondsindede enheder udnyttede en sikkerhedssårbarhed i protokollen, der gjorde det muligt for dem at præge ikke-fungible tokens gratis.
OpenSeas front-end blev også udnyttet i begyndelsen af året, som var rettet mod Bored Ape Yacht Club (BAYC)-indehavere. Som rapporteret tidligere, gerningsmanden lykkedes at stjæle ETH til en værdi af omkring $750K.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/