Check Point, američko-izraelska multinacionalna tvrtka koja nudi hardverske i softverske proizvode za IT sigurnost, otkrila je identificiranje sigurnosnog propusta na popularnom NFT tržištu Rarible, koje ima više od dva milijuna aktivnih korisnika mjesečno.
Sigurnosni nedostatak na Raribleu
U blog post, CPR je naveo da bi nedostatak, ako bi se iskoristio, omogućio zlonamjernom akteru da isprazni korisnikove NFT-ove i novčanike za kriptovalute u jednoj transakciji.
Rarible je jedno od najpoznatijih tržišta u NFTF sektoru. Izvijestio je o više od 273 milijuna dolara obujma trgovanja u 2021. Stoga je CPR spomenuo da su korisnici platforme "manje sumnjičavi i upoznati s podnošenjem transakcija". Istraživači u tvrtki upozorili su Rarible na otkriće 5. travnja, nakon čega je NFT platforma priznala grešku i odmah je popravila.
Navodeći metodu napada, CPR je primijetio:
“Žrtva prima poveznicu na zlonamjerni NFT ili pregledava tržište i klikne na njega. Zlonamjerni NFT izvršava JavaScript kod i pokušava žrtvi poslati zahtjev setApprovalForAll. Žrtva podnosi zahtjev i napadaču daje potpuni pristup ovom NFT-u/kripto tokenu.”
CPR su prvi put zaintrigirali ovakvi slučajevi nakon što je popularni tajvanski pjevač Jay Chou postao žrtva sličnog cyber-napada. Navodno su napadači ukrali Chouov NFT i kasnije ga prodali za 500 tisuća dolara.
Zanimljivo, firma također otkrivena kritične sigurnosne ranjivosti na OpenSea-u prošlog listopada, koje su potencijalno mogle omogućiti napadačima da “otmu korisničke račune i ukradu cijele novčanike kriptovalute izradom zlonamjernih NFT-ova”.
Također je pozvao korisnike da budu oprezni dok pregledavaju ono što se traži. Ako se zahtjev čini nenormalnim ili sumnjivim, trebali bi ga odbiti i dodatno pregledati prije nego što daju bilo kakvu vrstu ovlaštenja.
Ogromni napadi na NFT tržnice
Razvoj dolazi nešto više od mjesec dana nakon NFT tržišta utemeljenog na Arbitrumu – TreasureDAO – svjedoci stotine NFT-ova ukradenih u eksploataciji u nizu transakcija. Zlonamjerni entiteti iskoristili su sigurnosnu ranjivost u protokolu koja im je omogućila besplatno kovanje tokena koji se ne mogu zamijeniti.
OpenSea-ov front-end također je iskorišten početkom godine, koji je ciljao na vlasnike Bored Ape Yacht Cluba (BAYC). Kako je ranije objavljeno, počinitelj upravlja ukrasti ETH u vrijednosti od oko 750 tisuća dolara.
Binance besplatno 100 USD (isključivo): Koristite ovu vezu za registraciju i primanje 100 USD besplatno i 10% popusta na Binance Futures prvi mjesec (uvjeti).
Posebna ponuda PrimeXBT: Koristite ovu vezu da se registrirate i unesete POTATO50 kod kako biste primili do 7,000 USD na svoje depozite.
Izvor: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/