Check Point, американо-израильская транснациональная компания, поставляющая аппаратные и программные продукты для ИТ-безопасности, обнаружила брешь в системе безопасности на популярном рынке NFT Rarible, который может похвастаться более чем двумя миллионами активных пользователей в месяц.
Недостаток безопасности на Rarible
В блоге, CPR заявил, что уязвимость, если бы она была использована, позволила бы злоумышленнику перекачать NFT и криптовалютные кошельки пользователя за одну транзакцию.
Rarible — одна из самых авторитетных торговых площадок в секторе NFTF. В 273 году объем торгов превысил 2021 миллиона долларов. Следовательно, CPR упомянул, что пользователи платформы «менее подозрительны и знакомы с отправкой транзакций». Исследователи фирмы предупредили Rarible об открытии 5 апреля, после чего платформа NFT признала недостаток и немедленно исправила его.
Описывая метод атаки, CPR отметил:
«Жертва получает ссылку на вредоносный NFT или просматривает торговую площадку и нажимает на нее. Вредоносный NFT выполняет код JavaScript и пытается отправить жертве запрос setApprovalForAll. Жертва отправляет запрос и предоставляет злоумышленнику полный доступ к этому NFT/крипто-токену».
CPR впервые заинтересовался подобными случаями после того, как популярный тайваньский певец Джей Чоу стал жертвой подобной кибератаки. Как сообщается, злоумышленники украли NFT Чоу, а затем продали его за 500 тысяч долларов.
Интересно, что фирма также обнаруженный критические уязвимости безопасности в OpenSea в октябре прошлого года, которые потенциально могли позволить злоумышленникам «взломать учетные записи пользователей и украсть целые криптовалютные кошельки путем создания вредоносных NFT».
Он также призвал пользователей проявлять осторожность при просмотре того, что запрашивается. Если запрос кажется ненормальным или подозрительным, они должны отклонить его и проверить еще раз, прежде чем предоставлять какое-либо разрешение.
Безудержные атаки на торговые площадки NFT
Разработка началась чуть более чем через месяц после того, как торговая площадка NFT на базе Arbitrum — TreasureDAO — свидетелем сотни NFT были украдены с помощью эксплойта в серии транзакций. Злоумышленники воспользовались уязвимостью безопасности в протоколе, которая позволила им бесплатно чеканить невзаимозаменяемые токены.
Интерфейс OpenSea также использовался в начале года для владельцев Bored Ape Yacht Club (BAYC). Как сообщалось ранее, злоумышленник управляемого чтобы украсть ETH на сумму около 750 тысяч долларов.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/