Check Point, amerikkalais-israelilainen monikansallinen yritys, joka tarjoaa laitteisto- ja ohjelmistotuotteita IT-tietoturvaan, on paljastanut tietoturvavirheen suositussa NFT-markkinapaikassa Rariblessa, jolla on yli kaksi miljoonaa aktiivista käyttäjää kuukausittain.
Suojausvirhe Rariblessa
Jonkin sisällä blogi, CPR totesi, että jos virhettä olisi käytetty hyväkseen, pahantahtoinen toimija olisi voinut päästää pois käyttäjän NFT:t ja kryptovaluuttalompakot yhdessä tapahtumassa.
Rarible on yksi vakiintuneimmista markkinapaikoista NFTF-sektorilla. Se raportoi yli 273 miljoonan dollarin kaupankäynnin volyymista vuonna 2021. Tästä syystä CPR mainitsi, että alustan käyttäjät ovat "vähemmän epäluuloisia ja perehtyneet tapahtumien lähettämiseen". Yrityksen tutkijat varoittivat Rariblea löydöstä 5. huhtikuuta, minkä jälkeen NFT-alusta tunnusti vian ja korjasi sen välittömästi.
Hyökkäysmenetelmän pääpiirteissään CPR totesi:
"Uhri saa linkin haitalliseen NFT:hen tai selaa kauppapaikkaa ja napsauttaa sitä. Haitallinen NFT suorittaa JavaScript-koodin ja yrittää lähettää uhrille setApprovalForAll-pyynnön. Uhri lähettää pyynnön ja antaa hyökkääjälle täyden pääsyn tähän NFT:n/Crypto Tokeniin."
Elvytys kiinnostui tämäntyyppisistä tapauksista, kun suosittu taiwanilainen laulaja Jay Chou joutui samanlaisen kyberhyökkäyksen uhriksi. Raporttien mukaan hyökkääjät varastivat Choun NFT:n ja myivät sen myöhemmin 500 XNUMX dollarilla.
Mielenkiintoista, että yritys myös havaittu kriittisiä tietoturva-aukkoja OpenSeassa viime lokakuussa, mikä olisi voinut mahdollistaa hyökkääjien "kaappauksen käyttäjätileihin ja kokonaisten kryptovaluuttalompakoiden varastamiseen haitallisten NFT:iden avulla".
Se myös kehotti käyttäjiä olemaan varovainen arvioidessaan, mitä pyydetään. Jos pyyntö vaikuttaa epänormaalilta tai epäilyttävältä, heidän tulee hylätä se ja tutkia sitä tarkemmin ennen minkäänlaisen valtuutuksen antamista.
Valtavat hyökkäykset NFT-markkinapaikoille
Kehitys tulee hieman yli kuukausi Arbitrum-pohjaisen NFT-markkinapaikan – TreasureDAO – jälkeen. todistamassa satoja NFT:itä varastetaan hyväksikäytössä useissa liiketoimissa. Haitalliset tahot käyttivät hyväkseen protokollan tietoturvahaavoittuvuutta, jonka ansiosta ne pystyivät lyömään ei-korjattavia tokeneita ilmaiseksi.
Vuoden alussa hyödynnettiin myös OpenSean käyttöliittymää, joka kohdistui Bored Ape Yacht Clubin (BAYC) haltijoihin. Kuten aiemmin kerrottiin, tekijä onnistui varastaa noin 750 XNUMX dollaria ETH:ta.
Binance ilmaiseksi 100 dollaria (yksinomainen): Käytä tätä linkkiä rekisteröityäksesi ja saada 100 dollaria ilmaiseksi ja 10 % alennuksen maksuista Binance Futuresissa ensimmäisen kuukauden aikana (ehdot).
PrimeXBT-erikoistarjous: Käytä tätä linkkiä rekisteröidy ja syötä POTATO50-koodi saadaksesi jopa 7,000 XNUMX dollaria talletuksillesi.
Lähde: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/