Check Point, американско-израелската мултинационална компанија која обезбедува хардверски и софтверски производи за ИТ безбедност, откри дека идентификува безбедносен пропуст на популарниот NFT пазар Рарибл, кој може да се пофали со преку два милиони месечни активни корисници.
Безбедносен пропуст на Рарибл
Во блог пост, CPR изјави дека пропустот, доколку се искористи, би му овозможил на злонамерниот актер да ги отстрани NFT-ите и паричниците со криптовалути на корисникот во една трансакција.
Rarible е еден од најафирмираните пазари во секторот NFTF. Таа објави повеќе од 273 милиони долари во обем на тргување во 2021 година. Оттука, CPR спомена дека корисниците на платформата се „помалку сомнителни и запознаени со поднесувањето трансакции“. Истражувачите во фирмата го предупредија Рарибл за откритието на 5-ти април, по што платформата NFT го призна пропустот и веднаш го поправи.
Приказ на методот на напад, CPR забележа:
„Жртвата добива линк до злонамерниот NFT или го прелистува пазарот и кликнува на него. Злонамерниот NFT извршува JavaScript код и се обидува да испрати барање setApprovalForAll до жртвата. Жртвата го поднесува барањето и му дава целосен пристап до овој NFT/Crypto Token на напаѓачот“.
CPR првпат стана заинтригирана од ваквите случаи откако популарната тајванска пејачка Џеј Чоу стана жртва на сличен сајбер-напад. Наводно, напаѓачите го украле NFT на Chou и подоцна го продале за 500 илјади долари.
Интересно, фирмата исто така Утврдивме критични безбедносни пропусти на OpenSea минатиот октомври, кои потенцијално би можеле да им овозможат на напаѓачите „да ги киднапираат корисничките сметки и да украдат цели паричници со криптовалути со создавање на малициозни NFT“.
Исто така, ги повика корисниците да бидат претпазливи додека го разгледуваат она што се бара. Доколку барањето се чини ненормално или сомнително, тие треба да го отфрлат и дополнително да го проверат пред да дадат каков било вид овластување.
Неконтролирани напади на пазарите на NFT
Развојот доаѓа малку повеќе од еден месец по пазарот NFT базиран на Arbitrum – TreasureDAO – сведок стотици NFT се украдени во експлоатација во серија трансакции. Злонамерните субјекти ја искористија безбедносната ранливост во протоколот што им овозможи бесплатно да коваат незаменливи токени.
На почетокот на годината беше искористен и предниот дел на OpenSea, кој ги таргетираше сопствениците на Bored Ape Yacht Club (BAYC). Како што беше соопштено претходно, сторителот успеа да украде ETH во вредност од околу 750 $.
Binance Free 100 $ (ексклузивно): Користете ја оваа врска да се регистрирате и да добиете бесплатни $100 и 10% попуст на таксите на Binance Futures првиот месец (услови).
PrimeXBT Специјална понуда: Користете ја оваа врска да се регистрирате и да го внесете кодот POTATO50 за да добиете до 7,000 УСД на вашите депозити.
Извор: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/