Check Point, shumëkombëshe amerikano-izraelite që ofron produkte harduerësh dhe softuerësh për sigurinë e IT-së, ka zbuluar identifikimin e një defekti sigurie në tregun popullor NFT Rarible, i cili krenohet me mbi dy milionë përdorues aktivë mujorë.
Gabim sigurie në Rarible
Në një blog post, CPR deklaroi se e meta, nëse do të shfrytëzohej, do të kishte lejuar një aktor keqdashës të hiqte NFT-të dhe kuletat e kriptomonedhave të një përdoruesi në një transaksion të vetëm.
Rarible është një nga tregjet më të vendosura në sektorin NFTF. Ai raportoi më shumë se 273 milionë dollarë në vëllim tregtar në vitin 2021. Prandaj, CPR përmendi se përdoruesit e platformës janë "më pak të dyshimtë dhe të njohur me paraqitjen e transaksioneve". Studiuesit në firmë njoftuan Rarible për zbulimin më 5 prill, pas së cilës platforma NFT e pranoi të metën dhe e rregulloi menjëherë.
Duke përshkruar metodën e sulmit, CPR vuri në dukje:
“Viktima merr një lidhje me NFT-në me qëllim të keq ose shfleton tregun dhe klikon mbi të. NFT keqdashëse ekzekuton kodin JavaScript dhe përpiqet t'i dërgojë viktimës një kërkesë setApprovalForAll. Viktima paraqet kërkesën dhe i jep sulmuesit akses të plotë në këtë NFT/Crypto Token.”
CPR fillimisht u intrigua nga këto lloj rastesh pasi një këngëtar i njohur tajvanez Jay Chou ra viktimë e një sulmi të ngjashëm kibernetik. Thuhet se sulmuesit vodhën NFT të Chou dhe më vonë e shitën për 500 mijë dollarë.
Interesante, firma gjithashtu zbuluar dobësi kritike të sigurisë në OpenSea tetorin e kaluar, të cilat potencialisht mund t'u kenë mundësuar sulmuesve të "rrëmbejnë llogaritë e përdoruesve dhe të vjedhin kuletat e tëra të kriptomonedhave duke krijuar NFT me qëllim të keq".
Ai gjithashtu u bëri thirrje përdoruesve të tregojnë kujdes gjatë shqyrtimit të asaj që kërkohet. Nëse kërkesa duket jonormale ose e dyshimtë, ata duhet ta refuzojnë atë dhe ta inspektojnë më tej përpara se të japin çdo lloj autorizimi.
Sulmet e shfrenuara në tregjet NFT
Zhvillimi vjen pak më shumë se një muaj pas tregut NFT të bazuar në Arbitrum – TreasureDAO – dëshmitarë qindra NFT janë vjedhur në një shfrytëzim në një seri transaksionesh. Subjektet me qëllim të keq shfrytëzuan një dobësi sigurie në protokoll që u mundësoi atyre të krijonin token të pandryshueshëm falas.
Pjesa e përparme e OpenSea u shfrytëzua gjithashtu në fillim të vitit, e cila synonte mbajtësit e Bored Ape Yacht Club (BAYC). Siç u raportua më herët, autori menaxhuar për të vjedhur ETH me vlerë rreth 750 mijë dollarë.
Binance Pa pagesë 100 dollarë (ekskluzive): Përdoreni këtë link për t'u regjistruar dhe për të marrë 100 dollarë tarifa falas dhe 10% ulje në muajin e parë të Binance Futures (Kushtet).
Oferta speciale PrimeXBT: Përdoreni këtë link për t'u regjistruar dhe futur kodin POTATO50 për të marrë deri në 7,000 dollarë në depozitat tuaja.
Burimi: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/