Forskare vid cybersäkerhetsprogramvaruföretaget Check Point har identifierat en sårbarhet på Rarible NFT-marknaden. Hundratusentals av dess cirka två miljoner aktiva månatliga användare skulle ha förlorat sina NFT:er om hackaren hade avrättat det.
Check Points ansvarsfulla information
"En framgångsrik attack skulle ha kommit från en skadlig NFT inom Raribles marknadsplats, i sig, där användare är mindre misstänksamma och bekanta med att skicka transaktioner", konstaterade Check Point Research.
Problemet med funktionen "setApprovalForAll", en del av NFT EIP-721-standarden, är att den ger fullständig kontroll över NFT-tillgångarna till en annan part. Nätfiskeattacker kan utformas för att stjäla offrens tillgångar. De kan övertyga dem att underteckna en transaktionsbegäran som ser ut att komma från en legitim källa.
På grund av ett säkerhetsproblem i Rarible kunde användare ladda upp mediefiler på upp till 100 MB utan att kontrollera dem för potentiellt skadligt innehåll. Forskare från Check Point utnyttjade det här problemet genom att skapa en SVG-bild som innehöll en skadlig JavaScript-nyttolast.
Systemet kommer att köra en kod om målet klickar på NFT-bilden eller IPFS-länken. Utlösa därför en transaktionsbegäran i deras webbläsare. Om målet inte förstår transaktionens detaljer kan de godkänna begäran. Det ger angriparen tillgång till hela sin samling. Angriparen skulle sedan använda "transferFrom"-åtgärden för att stjäla NFT:erna och överföra dem till sin plånbok. Observera att denna åtgärd inte går att ångra.
Plattformen CPR meddelade Rarible om problemet den 5 april. Företaget erkände omedelbart och åtgärdade problemet.
NFT-stöld är ett hot
Oded Vanunu, en säkerhetsforskare på Check Point Software, sa att företaget blev intresserad av denna attack efter att den taiwanesiske sångaren Jay Chou blivit ett offer. Chous BoredApe #3738 NFT sveptes via en skändlig transaktion i början av februari.
"När vi såg att denna NFT var stulen, uppmuntrade det oss att undersöka ytterligare," sa Vanunu. Han tillade också att en sådan sårbarhet kan vara möjlig på många andra plattformar. Sårbarheten åtgärdades snabbt av Rarible, som tog bort möjligheten att ladda upp SVG-filer. Det avslutade det skadliga NFT-attackalternativet, tillade Vanunu.
Enligt Vanunu kunde vilken användare som helst på plattformen ha utlöst ett säkerhetsfel. Han uppskattade dock inte hur mycket som kunde ha gått förlorat. En liknande attack mot Arthur Cheongs plånbok resulterade i förlusten på över 1.86 miljoner dollar. Därför bör användare alltid vara noggranna när de godkänner förfrågningar på NFT-plattformar. De bör också använda Etherscans begärandespårare när det är möjligt.
Behovet av att skydda dina tillgångar
Det är viktigt att notera att detta problem inte är unikt för Rarible, eftersom Check Point upptäckte ett liknande fel på OpenSea förra året. Problemet med NFT-transaktionsstandarden är att det gör det svårt för tillgångsinnehavare att avgöra deras äkthet.
Därför bör du undersöka allt du ombeds skriva under noggrant för att ta reda på vad det innebär. Undvik också att skriva under något om du är osäker på vad det innebär. Det rekommenderas att användare tittar på sina tidigare tokengodkännanden och återkallar de som verkar bedrägliga genom att använda denna tokengodkännandekontroll.
På grund av arten av dessa attacker kan de ta längre tid att slutföra och kan påverka överföringen av tillgångar. När blockchain-tekniken fortsätter att utvecklas måste investerare vara mer försiktiga när de skyddar sina tillgångar.
Open Sea är i trubbel
Enligt två målsägande misslyckades OpenSea med att åtgärda säkerhetsbrister som gjorde det möjligt för hackare att stjäla icke-fungibla tokens (NFT). Misslyckandet med att ta itu med dessa problem orsakade hundratusentals dollar i skador.
En annan användare klagade på att OpenSea lägger ansvaret på sina användare att skydda sina NFT. Det kommer när NFT-scenen fortsätter att plågas av bedrägerier och bedrägerier.
De stämningar som de två kärandena väckte mot OpenSea kan skapa prejudikat när det gäller hanteringen av NFT-relaterade anspråk. I avsaknad av en centraliserad myndighet kommer domstolsväsendet att vara till nytta för att handlägga dessa mål.
Källa: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/