Check Point, den amerikansk-israeliska multinationella som tillhandahåller hård- och mjukvaruprodukter för IT-säkerhet, har avslöjat att identifiera ett säkerhetsbrist på den populära NFT-marknadsplatsen Rarible, som har över två miljoner aktiva användare varje månad.
Säkerhetsfel på Rarible
I en blogginlägg, uppgav CPR att felet, om det utnyttjades, skulle ha gjort det möjligt för en illvillig aktör att ta bort en användares NFT:er och kryptovaluta plånböcker i en enda transaktion.
Rarible är en av de mest etablerade marknadsplatserna inom NFTF-sektorn. Det rapporterade mer än $273 miljoner i handelsvolym 2021. Därför nämnde CPR att plattformsanvändare är "mindre misstänksamma och bekanta med att skicka transaktioner." Forskare vid företaget larmade Rarible om upptäckten den 5 april, varefter NFT-plattformen erkände felet och fixade det omedelbart.
Genom att beskriva attackmetoden noterade HLR:
"Offret får en länk till den skadliga NFT eller surfar på marknadsplatsen och klickar på den. Skadlig NFT kör JavaScript-kod och försöker skicka en setApprovalForAll-förfrågan till offret. Offer skickar in begäran och ger full åtkomst till denna NFT:s/kryptotoken till angriparen."
HLR blev först fascinerad av dessa typer av fall efter att en populär taiwanesisk sångare Jay Chou föll offer för en liknande cyber-attack. Enligt uppgift stal angripare Chous NFT och sålde den senare för $500k.
Intressant, företaget också detekterad kritiska säkerhetssårbarheter på OpenSea i oktober förra året, som potentiellt kunde ha gjort det möjligt för angripare att "kapa användarkonton och stjäla hela kryptovaluta-plånböcker genom att skapa skadliga NFT:er."
Det uppmanade också användare att vara försiktiga när de granskar vad som efterfrågas. Om begäran verkar onormal eller misstänkt bör de avvisa den och inspektera den ytterligare innan de ger någon form av tillstånd.
Häftiga attacker på NFT-marknadsplatser
Utvecklingen kommer lite över en månad efter den Arbitrum-baserade NFT-marknadsplatsen – TreasureDAO – bevittnat hundratals NFT:er som stulits i en exploatering i en serie transaktioner. De skadliga enheterna utnyttjade en säkerhetssårbarhet i protokollet som gjorde det möjligt för dem att skapa icke-fungibla tokens gratis.
OpenSeas front-end utnyttjades också i början av året, vilket riktade sig till innehavare av Bored Ape Yacht Club (BAYC). Som rapporterats tidigare, gärningsmannen förvaltade att stjäla ETH till ett värde av cirka 750 XNUMX USD.
Binance Free $100 (exklusivt): Använd den här länken att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera och ange POTATO50-koden för att få upp till $7,000 XNUMX på dina insättningar.
Källa: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/