Check Point, американо-ізраїльська транснаціональна компанія, яка надає апаратні та програмні продукти для ІТ-безпеки, виявила недоліки безпеки на популярному ринку NFT Rarible, який має понад два мільйони активних користувачів щомісяця.
Помилка безпеки на Rarible
В блог, CPR заявив, що недолік, у разі його використання, дозволив би зловмисникові викачувати NFT і гаманці криптовалюти користувача за одну транзакцію.
Rarible є одним із найпопулярніших ринків у секторі NFTF. Обсяг торгів у 273 році склав понад 2021 мільйони доларів США. Тому CPR зазначив, що користувачі платформи «менш підозрілі й знайомі з поданням транзакцій». Дослідники фірми повідомили Rarible про відкриття 5 квітня, після чого платформа NFT визнала недолік і негайно виправила його.
Викладаючи метод атаки, CPR зазначив:
«Жертва отримує посилання на шкідливий NFT або переглядає маркетплейс і натискає на нього. Шкідливий NFT виконує код JavaScript і намагається надіслати запит setApprovalForAll жертві. Жертва надсилає запит і надає зловмиснику повний доступ до цього токена NFT/крипто».
СЛР вперше зацікавили подібні випадки після того, як популярний тайванський співак Джей Чоу став жертвою подібної кібератаки. Як повідомляється, зловмисники вкрали NFT Чоу, а потім продали його за 500 тисяч доларів.
Цікаво, що фірма також виявлено Критичні вразливості безпеки OpenSea у жовтні минулого року, які потенційно могли дозволити зловмисникам «викрадати облікові записи користувачів і викрадати цілі гаманці криптовалюти, створюючи шкідливі NFT».
Він також закликав користувачів бути обережними, переглядаючи запити. Якщо запит видається ненормальним або підозрілим, вони повинні відхилити його та перевірити його додатково, перш ніж надавати будь-який вид дозволу.
Поширені атаки на NFT Marketplaces
Розробка з’явилася трохи більше ніж через місяць після ринку NFT на базі Arbitrum – TreasureDAO – свідком сотні NFT були викрадені в результаті серії транзакцій. Зловмисники скористалися вразливістю в протоколі, яка дозволила їм безкоштовно карбувати незмінні токени.
На початку року також використовувався інтерфейс OpenSea, орієнтований на власників яхт-клубу Bored Ape (BAYC). Як повідомлялося раніше, зловмисник вдалося щоб вкрасти ETH на суму близько 750 тисяч доларів.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/