za
rarible

Firma zajmująca się cyberbezpieczeństwem odkryła poważną lukę na rynku NFT Rarible

Check Point, amerykańsko-izraelska firma dostarczająca sprzęt i oprogramowanie dla systemów bezpieczeństwa IT, ujawniła lukę w zabezpieczeniach popularnej giełdy NFT Rarible.

Błąd bezpieczeństwa w Rarible

We wpisie na blogu CPR stwierdziło, że luka, jeśli zostanie wykorzystana, pozwoli napastnikowi na przejęcie NFT i portfeli kryptowalutowych użytkownika w ramach jednej transakcji.

Rarible jest jednym z najbardziej uznanych rynków w sektorze NFT. W 2021 roku odnotował on ponad 273 miliony dolarów wolumenu obrotu. Według CPR, właśnie dlatego użytkownicy platformy są “mniej podejrzliwi i zaznajomieni z przeprowadzaniem transakcji”. Naukowcy z firmy powiadomili Rarible o swoim odkryciu w dniu 5 kwietnia. Platforma NFT przyznała się do błędu i natychmiast go naprawiła. Przedstawiając metodę ataku, CPR zauważył:

Ofiara otrzymuje link do złośliwego NFT lub przegląda rynek i klika na niego. Złośliwy program NFT uruchamia kod JavaScript i próbuje wysłać do ofiary żądanie setApprovalForAll. Ofiara przesyła żądanie i przyznaje atakującemu pełny dostęp do tokenów NFT.

CPR po raz pierwszy zaintrygował się tego typu przypadkami po tym, jak popularny tajwański piosenkarz Jay Chou padł ofiarą podobnego cyberataku. Napastnicy ukradli wówczas NFT Chou, a następnie sprzedali je za 500 tys. dolarów.

Co ciekawe, firma wykryła również poważne luki w zabezpieczeniach OpenSea w październiku zeszłego roku. Potencjalnie mogły one umożliwić hakerom “przejęcie kont użytkowników i kradzież całych portfeli kryptowalut poprzez spreparowanie złośliwych NFT”.

Wezwano również użytkowników do zachowania ostrożności podczas sprawdzania, co jest przedmiotem żądania. Jeśli żądanie wydaje się nietypowe lub podejrzane, powinni je odrzucić i sprawdzić przed udzieleniem jakiejkolwiek autoryzacji.

rarible

Nasilające się ataki na rynki NFT

Sytuacja ta ma miejsce nieco ponad miesiąc po tym, jak ofiarą hakerów padł bazujący na Arbitrum rynek NFT – TreasureDAO. Podczas ataku skradziono setki NFT. Napastnik wykorzystał lukę w zabezpieczeniach protokołu, która umożliwiła mu wybijanie niewymiennych tokenów zupełnie za darmo.

Na początku roku wykorzystany został również front-end OpenSea. Celem ataku byli posiadacze Bored Ape Yacht Club (BAYC). Jak już wcześniej informowaliśmy, sprawca zdołał ukraść ETH o wartości około 750 tys. dolarów.

Bitcoina i inne kryptowaluty kupisz w prosty i bezpieczny sposób na giełdzie zondacrypto.

Tagi

Newsletter Bitcoin.pl

Więcej niż bitcoin i kryptowaluty. Najważniejsze newsy i insiderskie informacje prosto na Twój email.

Dbamy o ochronę Twoich danych. Przeczytaj naszą Politykę Prywatności