Истражувачите од фирмата за софтвер за сајбер безбедност Check Point идентификуваа ранливост на пазарот Rarible NFT. Стотици илјади од неговите околу два милиони активни месечни корисници би ги изгубиле своите NFT доколку хакерот го извршил.
Одговорното откривање на Check Point
„Успешен напад би дошол од злонамерен NFT на самиот пазар на Rarible, каде што корисниците се помалку сомнителни и запознаени со поднесувањето трансакции“, забележа Check Point Research.
Проблемот со функцијата „setApprovalForAll“, дел од стандардот NFT EIP-721, е што дава целосна контрола над NFT средствата на друга страна. Фишинг нападите можат да бидат дизајнирани да ги украдат имотите на нивните жртви. Тие можат да ги убедат да потпишат барање за трансакција што изгледа како да е од легитимен извор.
Поради безбедносен проблем во Rarible, корисниците можеа да поставуваат медиумски датотеки до 100 MB без да ги проверат за потенцијално злонамерна содржина. Истражувачите од Check Point го искористија овој проблем со создавање на SVG слика која содржи злонамерен JavaScript товар.
Системот ќе изврши код ако целта кликне на сликата NFT или на врската IPFS. Оттука, активирајте барање за трансакција во нивниот прелистувач. Ако целта не ги разбира деталите за трансакцијата, може да го одобри барањето. Тоа му овозможува на напаѓачот пристап до целата нивна колекција. Напаѓачот потоа ќе ја искористи акцијата „transferFrom“ за да ги украде NFT-овите и да ги пренесе во нивниот паричник. Имајте предвид дека оваа акција е неповратна.
Платформата CPR го извести Рарибл за проблемот на 5 април. Компанијата веднаш го призна и го реши проблемот.
Кражбата на NFT е закана
Одед Вануну, безбедносен истражувач во Check Point Software, рече дека компанијата се заинтересирала за овој напад откако тајванскиот пејач Џеј Чоу станал жртва. Chou's BoredApe #3738 NFT беше отфрлен преку злобна трансакција на почетокот на февруари.
„Откако видовме дека овој NFT е украден, тоа не поттикна да истражуваме понатаму“, рече Вануну. Тој исто така додаде дека таква ранливост може да биде можна на многу други платформи. Ранливоста брзо беше поправена од Rarible, кој ја отстрани опцијата за поставување SVG-датотеки. Ја прекина опцијата за злонамерен напад NFT, додаде Вануну.
Според Вануну, секој корисник на платформата можел да предизвика безбедносен пропуст. Сепак, тој не проценил колку можело да се изгуби. Сличен напад на паричникот на Артур Чеонг резултираше со загуба од над 1.86 милиони долари. Оттука, корисниците секогаш треба да бидат вредни кога одобруваат барања на NFT платформите. Тие, исто така, треба да го користат следењето на барањата на Etherscan секогаш кога е можно.
Потребата да ги заштитите вашите средства
Важно е да се напомене дека ова прашање не е единствено за Рарибл, бидејќи Check Point откри сличен пропуст на OpenSea минатата година. Проблемот со стандардот за трансакции NFT е што им отежнува на имателите на средства да ја утврдат нивната автентичност.
Затоа, треба внимателно да испитате сè што од вас се бара да потпишете за да утврдите што вклучува. Исто така, избегнувајте да потпишувате нешто ако не сте сигурни што вклучува. Се препорачува корисниците да ги видат нивните претходни одобренија за токени и да ги отповикаат оние што изгледаат лажни со користење на оваа проверка на одобрување токени.
Поради природата на овие напади, може да потрае подолго за да се завршат и може да влијаат на преносот на средствата. Бидејќи блокчејн технологијата продолжува да се развива, инвеститорите треба да бидат повнимателни кога ги штитат своите средства.
Отвореното море е во неволја
Според двајца тужители, OpenSea не успеал да ги реши безбедносните пропусти што им дозволувале на хакерите да украдат незаменливи токени (NFT). Нерешавањето на овие прашања предизвика штети од стотици илјади долари.
Друг корисник се пожали дека OpenSea ја префрла одговорноста на своите корисници да ги заштитат нивните NFT. Доаѓа кога сцената на NFT продолжува да биде зафатена од измами и измами.
Тужбите поднесени против OpenSea од двајцата тужители би можеле да постават преседан во однос на справувањето со побарувањата поврзани со NFT. Во отсуство на централизирана власт, судскиот систем ќе биде корисен во постапувањето со овие случаи.
Извор: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/