Check Point, syarikat multinasional Amerika-Israel yang menyediakan produk perkakasan dan perisian untuk keselamatan IT, telah mendedahkan mengenal pasti kecacatan keselamatan dalam pasaran NFT popular Rarible, yang mempunyai lebih dua juta pengguna aktif bulanan.
Cacat Keselamatan pada Rarible
Dalam pakej blog post, CPR menyatakan bahawa kecacatan itu, jika dieksploitasi, akan membenarkan pelakon berniat jahat menyedut NFT dan dompet mata wang kripto pengguna dalam satu transaksi.
Rarible ialah salah satu pasaran yang paling mantap dalam sektor NFTF. Ia melaporkan lebih daripada $273 juta dalam volum dagangan pada 2021. Oleh itu, CPR menyebut bahawa pengguna platform "kurang curiga dan biasa dengan menyerahkan transaksi." Penyelidik di firma itu memaklumkan Rarible tentang penemuan itu pada 5 April, selepas itu platform NFT mengakui kecacatan itu dan membetulkannya dengan segera.
Menggariskan kaedah serangan, CPR menyatakan:
“Mangsa menerima pautan ke NFT berniat jahat atau menyemak imbas pasaran dan mengklik padanya. NFT Berniat jahat melaksanakan kod JavaScript dan cuba menghantar permintaan setApprovalForAll kepada mangsa. Mangsa menyerahkan permintaan dan memberikan akses penuh kepada Token NFT/Crypto ini kepada penyerang.”
CPR mula tertarik dengan jenis kes ini selepas penyanyi terkenal Taiwan Jay Chou menjadi mangsa serangan siber yang serupa. Dilaporkan, penyerang mencuri NFT Chou dan kemudian menjualnya dengan harga $500k.
Menariknya, firma itu juga dikesan kelemahan keselamatan yang kritikal pada OpenSea Oktober lalu, yang berkemungkinan membolehkan penyerang "merampas akaun pengguna dan mencuri keseluruhan dompet mata wang kripto dengan mencipta NFT yang berniat jahat."
Ia juga menggesa pengguna untuk berhati-hati semasa menyemak perkara yang diminta. Jika permintaan itu kelihatan tidak normal atau mencurigakan, mereka harus menolaknya dan memeriksanya dengan lebih lanjut sebelum memberikan apa-apa jenis kebenaran.
Serangan Berleluasa di Pasaran NFT
Perkembangan itu datang lebih kurang sebulan selepas pasaran NFT berasaskan Arbitrum – TreasureDAO – menyaksikan beratus-ratus NFT dicuri dalam eksploitasi dalam satu siri transaksi. Entiti berniat jahat mengeksploitasi kerentanan keselamatan dalam protokol yang membolehkan mereka membuat token tidak boleh fungi secara percuma.
Bahagian hadapan OpenSea juga telah dieksploitasi pada awal tahun, yang menyasarkan pemegang Kelab Yacht Beruk Bored (BAYC). Seperti yang dilaporkan sebelum ini, pelaku berjaya untuk mencuri sekitar $750K nilai ETH.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/