Check Point, den amerikansk-israeliska multinationella som tillhandahåller hård- och mjukvaruprodukter för IT-säkerhet, har avslöjat att identifiera ett säkerhetsbrist på den populära NFT-marknadsplatsen Rarible, som har över två miljoner aktiva användare varje månad.
Säkerhetsfel på Rarible
I ett blogginlägg uppgav CPR att felet, om det utnyttjades, skulle ha gjort det möjligt för en illvillig aktör att ta bort en användares NFT:er och kryptovaluta plånböcker i en enda transaktion.
Rarible är en av de mest etablerade marknadsplatserna inom NFTF-sektorn. Den rapporterade mer än $273 miljoner i handelsvolym 2021. Därför nämnde CPR att plattformsanvändare är “mindre misstänksamma och bekanta med att skicka transaktioner.” Forskare vid företaget larmade Rarible om upptäckten den 5 april, varefter NFT-plattformen erkände felet och fixade det omedelbart.
Genom att beskriva attackmetoden noterade HLR:
“Offret får en länk till den skadliga NFT eller surfar på marknadsplatsen och klickar på den. Skadlig NFT kör JavaScript-kod och försöker skicka en setApprovalForAll-förfrågan till offret. Offer skickar in begäran och ger angriparen full åtkomst till denna NFT:s/kryptotoken.”
HLR blev först fascinerad av dessa typer av fall efter att en populär taiwanesisk sångare Jay Chou föll offer för en liknande cyber-attack. Enligt uppgift stal angripare Chous NFT och sålde den senare för $500k.
Intressant nog upptäckte företaget också kritiska säkerhetsbrister på OpenSea i oktober förra året, vilket potentiellt kunde ha gjort det möjligt för angripare att “kapa användarkonton och stjäla hela kryptovaluta plånböcker genom att skapa skadliga NFT.”
Det uppmanade också användare att vara försiktiga när de granskar vad som efterfrågas. Om begäran verkar onormal eller misstänkt bör de avvisa den och inspektera den ytterligare innan de ger någon form av tillstånd.
Häftiga attacker på NFT-marknadsplatser
Utvecklingen kommer en dryg månad efter att den Arbitrum-baserade NFT-marknadsplatsen – TreasureDAO – såg hundratals NFT:er bli stulna i en exploatering i en serie transaktioner. De skadliga enheterna utnyttjade en säkerhetssårbarhet i protokollet som gjorde det möjligt för dem att skapa icke-fungibla tokens gratis.
OpenSeas front-end utnyttjades också i början av året, vilket riktade sig till innehavare av Bored Ape Yacht Club (BAYC). Som rapporterats tidigare lyckades gärningsmannen stjäla ETH till ett värde av cirka 750 000 USD.
SPECIALERBJUDANDE (sponsrat) Binance Gratis $100 (Exklusivt): Använd den här länken för att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera dig och ange POTATO50-koden för att få upp till $7 000 på dina insättningar.
