Amerikas un Izraēlas starptautiskais uzņēmums Check Point, kas nodrošina aparatūras un programmatūras produktus IT drošībai, ir atklājis drošības trūkumu populārajā NFT tirgū Rarible, kurā ir vairāk nekā divi miljoni aktīvo lietotāju mēnesī.
Drošības trūkums vietnē Rarible
Jo blog post, CPR norādīja, ka defekts, ja tas tiktu izmantots, būtu ļāvis ļaunprātīgam dalībniekam vienā darījumā izsūknēt lietotāja NFT un kriptovalūtas makus.
Rarible ir viens no vispazīstamākajiem tirgiem NFTF sektorā. Tā ziņoja, ka 273. gadā tirdzniecības apjoms pārsniedza 2021 miljonus ASV dolāru. Tāpēc CPR minēja, ka platformas lietotāji ir “mazāk aizdomīgi un pārzina darījumu iesniegšanu”. Firmas pētnieki brīdināja Rarible par atklājumu 5. aprīlī, pēc tam NFT platforma atzina kļūdu un nekavējoties to novērsa.
Ieskicējot uzbrukuma metodi, CPR atzīmēja:
“Cietušais saņem saiti uz ļaunprātīgo NFT vai pārlūko tirgu un noklikšķina uz tā. Ļaunprātīgais NFT izpilda JavaScript kodu un mēģina upurim nosūtīt pieprasījumu setApprovalForAll. Cietušais iesniedz pieprasījumu un piešķir uzbrucējam pilnu piekļuvi šim NFT/kriptonauda marķieri.
CPR pirmo reizi ieinteresēja šāda veida gadījumi pēc tam, kad populārs Taivānas dziedātājs Džejs Čo kļuva par līdzīga kiberuzbrukuma upuri. Tiek ziņots, ka uzbrucēji nozaga Chou NFT un vēlāk to pārdeva par 500 XNUMX USD.
Interesanti, ka arī firma konstatēts kritiskās drošības ievainojamības OpenSea pagājušā gada oktobrī, kas potenciāli būtu ļāvušas uzbrucējiem “nolaupīt lietotāju kontus un nozagt veselus kriptovalūtas makus, veidojot ļaunprātīgus NFT”.
Tā arī mudināja lietotājus ievērot piesardzību, pārskatot to, kas tiek pieprasīts. Ja pieprasījums šķiet neparasts vai aizdomīgs, viņiem tas ir jānoraida un jāpārbauda, pirms tiek sniegta jebkāda veida atļauja.
Plaši uzbrukumi NFT tirgiem
Izstrāde notiek nedaudz vairāk nekā mēnesi pēc Arbitrum balstītā NFT tirgus — TreasureDAO. liecinieki simtiem NFT tiek nozagti ekspluatācijā virknē darījumu. Ļaunprātīgie subjekti izmantoja protokola drošības ievainojamību, kas ļāva tām bez maksas kalt neaizvietojamus marķierus.
Gada sākumā tika izmantota arī OpenSea priekšējā daļa, kas bija vērsta uz Bored Ape jahtkluba (BAYC) īpašniekiem. Kā ziņots iepriekš, vainīgais pārvalda nozagt aptuveni 750 tūkstošus dolāru vērtu ETH.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/