Studiuesit në firmën e softuerëve të sigurisë kibernetike Check Point kanë identifikuar një dobësi në tregun Rarible NFT. Qindra mijëra nga afërsisht dy milionë përdoruesit aktivë mujorë do të kishin humbur NFT-të e tyre nëse hakeri do ta kishte ekzekutuar atë.
Zbulimi i Përgjegjshëm i Check Point
"Një sulm i suksesshëm do të kishte ardhur nga një NFT keqdashëse brenda vetë tregut të Rarible, ku përdoruesit janë më pak të dyshimtë dhe të njohur me paraqitjen e transaksioneve," vuri në dukje Check Point Research.
Problemi me funksionin "setApprovalForAll", pjesë e standardit NFT EIP-721, është se ai i jep kontroll të plotë mbi aktivet NFT një pale tjetër. Sulmet e phishing mund të dizajnohen për të vjedhur pasuritë e viktimave të tyre. Ata mund t'i bindin ata të nënshkruajnë një kërkesë transaksioni që duket sikur është nga një burim legjitim.
Për shkak të një problemi sigurie në Rarible, përdoruesit mund të ngarkojnë skedarë mediash deri në 100 MB pa i kontrolluar ato për përmbajtje potencialisht me qëllim të keq. Studiuesit nga Check Point e shfrytëzuan këtë problem duke krijuar një imazh SVG që përmbante një ngarkesë me qëllim të keq JavaScript.
Sistemi do të ekzekutojë një kod nëse objektivi klikon në imazhin NFT ose lidhjen IPFS. Prandaj, aktivizoni një kërkesë transaksioni në shfletuesin e tyre. Nëse objektivi nuk i kupton detajet e transaksionit, ai mund ta miratojë kërkesën. Ai i lejon sulmuesit të aksesojë të gjithë koleksionin e tyre. Sulmuesi më pas do të përdorte veprimin "transferNga" për të vjedhur NFT-të dhe për t'i transferuar ato në portofolin e tyre. Vini re se ky veprim është i pakthyeshëm.
Platforma CPR njoftoi Rarible për këtë problem më 5 prill. Kompania e pranoi menjëherë dhe e rregulloi problemin.
Vjedhja NFT është një kërcënim
Oded Vanunu, një studiues sigurie në Check Point Software, tha se kompania u interesua për këtë sulm pasi këngëtari tajvanez Jay Chou u bë viktimë. Chou's BoredApe #3738 NFT u fshi përmes një transaksioni të poshtër në fillim të shkurtit.
"Sapo pamë se kjo NFT ishte vjedhur, na nxiti të hetojmë më tej," tha Vanunu. Ai gjithashtu shtoi se një dobësi e tillë mund të jetë e mundur në shumë platforma të tjera. Dobësia u rregullua shpejt nga Rarible, i cili hoqi opsionin e ngarkimit të skedarëve SVG. Ai përfundoi opsionin e sulmit me qëllim të keq NFT, shtoi Vanunu.
Sipas Vanunu, çdo përdorues në platformë mund të ketë shkaktuar një defekt sigurie. Megjithatë, ai nuk vlerësoi se sa mund të kishte humbur. Një sulm i ngjashëm në portofolin e Arthur Cheong rezultoi në humbjen e mbi 1.86 milionë dollarëve. Prandaj, përdoruesit duhet të jenë gjithmonë të zellshëm kur miratojnë kërkesat në platformat NFT. Ata duhet të përdorin gjithashtu gjurmuesin e kërkesave të Etherscan sa herë që është e mundur.
Nevoja për të mbrojtur pasuritë tuaja
Është e rëndësishme të theksohet se kjo çështje nuk është unike për Rarible, pasi Check Point zbuloi një të metë të ngjashme në OpenSea vitin e kaluar. Problemi me standardin e transaksionit NFT është se e bën të vështirë për mbajtësit e aseteve të përcaktojnë vërtetësinë e tyre.
Prandaj, duhet të shqyrtoni me kujdes çdo gjë që ju kërkohet të nënshkruani për të përcaktuar se çfarë përfshin. Gjithashtu, shmangni nënshkrimin e ndonjë gjëje nëse nuk jeni të sigurt se çfarë përfshin. Rekomandohet që përdoruesit të shikojnë miratimet e tyre të mëparshme token dhe të revokojnë ato që duken mashtruese duke përdorur këtë kontrollues të miratimit të tokenit.
Për shkak të natyrës së këtyre sulmeve, ato mund të zgjasin më shumë për të përfunduar dhe mund të ndikojnë në transferimin e aseteve. Ndërsa teknologjia blockchain vazhdon të evoluojë, investitorët duhet të jenë më të kujdesshëm kur mbrojnë asetet e tyre.
Deti i hapur është në telashe
Sipas dy paditësve, OpenSea dështoi të adresonte dobësitë e sigurisë që lejuan hakerët të vidhnin tokenat e pandryshueshëm (NFT). Dështimi për të adresuar këto çështje shkaktoi qindra mijëra dollarë dëme.
Një përdorues tjetër u ankua se OpenSea u ngarkon përdoruesve të saj përgjegjësinë për të mbrojtur NFT-të e tyre. Ajo vjen pasi skena NFT vazhdon të jetë e rrënuar nga mashtrimet dhe mashtrimet.
Paditë e ngritura kundër OpenSea nga dy paditësit mund të krijojnë një precedent në lidhje me trajtimin e pretendimeve të lidhura me NFT. Në mungesë të një autoriteti të centralizuar, sistemi gjyqësor do të jetë i dobishëm në trajtimin e këtyre rasteve.
Burimi: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/