I ricercatori della società di software di sicurezza informatica Check Point hanno identificato una vulnerabilità nel mercato di Rarible NFT. Centinaia di migliaia dei suoi circa due milioni di utenti mensili attivi avrebbero perso i loro NFT se l'hacker l'avesse eseguito.
Divulgazione responsabile di Check Point
"Un attacco riuscito sarebbe derivato da un NFT dannoso all'interno del mercato stesso di Rarible, dove gli utenti sono meno sospettosi e hanno familiarità con l'invio di transazioni", ha osservato Check Point Research.
Il problema con la funzione "setApprovalForAll", parte dello standard NFT EIP-721, è che fornisce il controllo completo sulle risorse NFT a un'altra parte. Gli attacchi di phishing possono essere progettati per rubare i beni delle loro vittime. Possono convincerli a firmare una richiesta di transazione che sembra provenire da una fonte legittima.
A causa di un problema di sicurezza in Rarible, gli utenti possono caricare file multimediali fino a 100 MB senza verificarne la presenza di contenuti potenzialmente dannosi. I ricercatori di Check Point hanno sfruttato questo problema creando un'immagine SVG che conteneva un payload JavaScript dannoso.
Il sistema eseguirà un codice se il target fa clic sull'immagine NFT o sul collegamento IPFS. Quindi, attiva una richiesta di transazione nel loro browser. Se il target non comprende i dettagli della transazione, può approvare la richiesta. Consente all'attaccante di accedere all'intera raccolta. L'attaccante utilizzerà quindi l'azione "transferFrom" per rubare gli NFT e trasferirli al proprio portafoglio. Tieni presente che questa azione non è reversibile.
La piattaforma CPR ha notificato a Rarible il problema il 5 aprile. L'azienda ha immediatamente riconosciuto e risolto il problema.
Il furto di NFT è una minaccia
Oded Vanunu, un ricercatore di sicurezza presso Check Point Software, ha affermato che la società si è interessata a questo attacco dopo che il cantante taiwanese Jay Chou è diventato una vittima. BoredApe #3738 NFT di Chou è stato rubato tramite una nefasta transazione all'inizio di febbraio.
"Una volta che abbiamo visto che questa NFT è stata rubata, ci ha incentivato a indagare ulteriormente", ha detto Vanunu. Ha anche aggiunto che una tale vulnerabilità potrebbe essere possibile su molte altre piattaforme. La vulnerabilità è stata rapidamente risolta da Rarible, che ha rimosso l'opzione di caricare file SVG. Ha terminato l'opzione di attacco NFT dannoso, ha aggiunto Vanunu.
Secondo Vanunu, qualsiasi utente sulla piattaforma potrebbe aver attivato un difetto di sicurezza. Tuttavia, non ha stimato quanto avrebbe potuto essere perso. Un attacco simile al portafoglio di Arthur Cheong ha comportato la perdita di oltre $ 1.86 milioni. Pertanto, gli utenti dovrebbero sempre essere diligenti quando approvano le richieste su piattaforme NFT. Dovrebbero anche utilizzare il tracker delle richieste di Etherscan quando possibile.
La necessità di proteggere i tuoi beni
È importante notare che questo problema non riguarda solo Rarible, poiché Check Point ha scoperto un difetto simile su OpenSea l'anno scorso. Il problema con lo standard di transazione NFT è che rende difficile per i detentori di attività determinarne l'autenticità.
Pertanto, dovresti esaminare attentamente tutto ciò che ti viene richiesto di firmare per accertare cosa comporta. Inoltre, evita di firmare qualcosa se non sei sicuro di ciò che comporta. È consigliabile che gli utenti visualizzino le loro precedenti approvazioni dei token e revochino quelle che sembrano fraudolente utilizzando questo strumento di verifica dell'approvazione dei token.
A causa della natura di questi attacchi, il loro completamento può richiedere più tempo e possono influire sul trasferimento di risorse. Poiché la tecnologia blockchain continua ad evolversi, gli investitori devono essere più cauti nel proteggere i propri asset.
Il mare aperto è in difficoltà
Secondo due querelanti, OpenSea non è riuscito ad affrontare le vulnerabilità della sicurezza che consentivano agli hacker di rubare token non fungibili (NFT). L'incapacità di affrontare questi problemi ha causato danni per centinaia di migliaia di dollari.
Un altro utente si è lamentato del fatto che OpenSea assegna ai suoi utenti l'onere di proteggere i propri NFT. Arriva mentre la scena NFT continua ad essere afflitta da truffe e frodi.
Le cause intentate contro OpenSea dai due querelanti potrebbero costituire un precedente per quanto riguarda la gestione dei reclami relativi a NFT. In assenza di un'autorità centralizzata, il sistema giudiziario sarà utile nella gestione di questi casi.
Fonte: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/