Check Point, američko-izraelska multinacionalna kompanija koja nudi hardverske i softverske proizvode za IT sigurnost, otkrila je identificiranje sigurnosnog propusta na popularnom NFT tržištu Rarible, koje ima preko dva miliona aktivnih korisnika mjesečno.
Sigurnosna greška na Rarible-u
U blog post, CPR je naveo da bi mana, ako bi se iskoristila, omogućila zlonamjernom akteru da izvuče korisnikove NFT-ove i novčanike za kriptovalute u jednoj transakciji.
Rarible je jedno od najpoznatijih tržišta u NFTF sektoru. Izvijestio je o više od 273 miliona dolara obima trgovanja u 2021. Stoga je CPR spomenuo da su korisnici platforme „manje sumnjičavi i upoznati sa podnošenjem transakcija“. Istraživači u kompaniji upozorili su Rarible na otkriće 5. aprila, nakon čega je NFT platforma priznala grešku i odmah je otklonila.
Navodeći metodu napada, CPR je primetio:
“Žrtva prima link do zlonamjernog NFT-a ili pretražuje tržište i klikne na njega. Zlonamjerni NFT izvršava JavaScript kod i pokušava žrtvi poslati zahtjev setApprovalForAll. Žrtva podnosi zahtjev i napadaču daje potpuni pristup ovom NFT/Crypto tokenu.”
CPR su prvi put zaintrigirali ovakvi slučajevi nakon što je popularni tajvanski pjevač Jay Chou postao žrtva sličnog sajber-napada. Navodno su napadači ukrali Chouov NFT i kasnije ga prodali za 500 hiljada dolara.
Zanimljivo, i firma otkriveno kritične sigurnosne ranjivosti na OpenSea-u prošlog oktobra, koje su potencijalno mogle omogućiti napadačima da “otmu korisničke račune i ukradu čitave novčanike kriptovaluta izradom zlonamjernih NFT-ova”.
Također je pozvao korisnike da budu oprezni dok pregledaju ono što se traži. Ako se zahtjev čini nenormalnim ili sumnjivim, oni bi ga trebali odbiti i dodatno provjeriti prije nego što daju bilo kakvu vrstu ovlaštenja.
Ogromni napadi na NFT Marketplaces
Razvoj dolazi nešto više od mjesec dana nakon NFT tržišta zasnovanog na Arbitrumu – TreasureDAO – svjedocio stotine NFT-ova ukradenih u eksploataciji u nizu transakcija. Zlonamjerni entiteti su iskoristili sigurnosnu ranjivost u protokolu koja im je omogućila da besplatno kuje nezamjenjive tokene.
Front-end OpenSea-a je također eksploatisan početkom godine, što je ciljano na vlasnike Bored Ape Yacht Cluba (BAYC). Kako je ranije saopšteno, počinilac upravlja da ukrade ETH u vrijednosti od oko 750 hiljada dolara.
Binance besplatno $100 (ekskluzivno): Koristite ovu vezu da se registrujete i dobijete 100 $ besplatno i 10% popusta na Binance Futures prvi mjesec (uslovi).
PrimeXBT posebna ponuda: Koristite ovu vezu da se registrujete i unesete POTATO50 kod da dobijete do $7,000 na svoje depozite.
Izvor: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/