Natukoy ng mga mananaliksik sa cyber security software firm na Check Point ang isang kahinaan sa Rarible NFT marketplace. Daan-daang libo ng humigit-kumulang dalawang milyong aktibong buwanang gumagamit nito ang mawawalan ng kanilang mga NFT kung ang hacker ay nagsagawa nito.
Ang Responsableng Pagbubunyag ng Check Point
"Ang isang matagumpay na pag-atake ay magmumula sa isang nakakahamak na NFT sa loob ng marketplace ng Rarible, mismo, kung saan ang mga gumagamit ay hindi gaanong kahina-hinala at pamilyar sa pagsusumite ng mga transaksyon," sabi ng Check Point Research.
Ang isyu sa function na "setApprovalForAll", bahagi ng pamantayan ng NFT EIP-721, ay nagbibigay ito ng kumpletong kontrol sa mga asset ng NFT sa isa pang partido. Ang mga pag-atake sa phishing ay maaaring idisenyo upang nakawin ang mga asset ng kanilang mga biktima. Maaari nilang kumbinsihin sila na pumirma sa isang kahilingan sa transaksyon na mukhang mula ito sa isang lehitimong pinagmulan.
Dahil sa isang isyu sa seguridad sa Rarible, ang mga user ay maaaring mag-upload ng mga media file hanggang sa 100MB nang hindi sinusuri ang mga ito para sa potensyal na nakakahamak na nilalaman. Sinamantala ng mga mananaliksik mula sa Check Point ang isyung ito sa pamamagitan ng paggawa ng SVG na imahe na naglalaman ng malisyosong JavaScript payload.
Magpapatupad ng code ang system kung mag-click ang target sa imahe ng NFT o sa link ng IPFS. Kaya, mag-trigger ng kahilingan sa transaksyon sa kanilang browser. Kung hindi naiintindihan ng target ang mga detalye ng transaksyon, maaari nilang aprubahan ang kahilingan. Pinapayagan nito ang umaatake na ma-access ang kanilang buong koleksyon. Pagkatapos ay gagamitin ng umaatake ang pagkilos na "transferFrom" upang nakawin ang mga NFT at ilipat ang mga ito sa kanilang wallet. Tandaan na ang pagkilos na ito ay hindi maibabalik.
Inabisuhan ng platform CPR si Rarible tungkol sa isyu noong Abril 5. Agad na kinilala at inayos ng kumpanya ang problema.
Ang NFT Theft ay isang Panganib
Sinabi ni Oded Vanunu, isang security researcher sa Check Point Software, na naging interesado ang kumpanya sa pag-atakeng ito matapos maging biktima ang Taiwanese singer na si Jay Chou. Ang Chou's BoredApe #3738 NFT ay na-swipe sa pamamagitan ng isang kasuklam-suklam na transaksyon sa simula ng Pebrero.
"Sa sandaling nakita namin na ang NFT na ito ay ninakaw, ito ay nag-udyok sa amin na mag-imbestiga pa," sabi ni Vanunu. Idinagdag din niya na ang ganitong kahinaan ay maaaring posible sa maraming iba pang mga platform. Ang kahinaan ay mabilis na naayos ng Rarible, na nag-alis ng opsyon sa pag-upload ng mga SVG na file. Tinapos nito ang malisyosong opsyon sa pag-atake ng NFT, idinagdag ni Vanunu.
Ayon kay Vanunu, ang sinumang gumagamit sa platform ay maaaring nag-trigger ng isang depekto sa seguridad. Gayunpaman, hindi niya tinantya kung magkano ang maaaring nawala. Ang isang katulad na pag-atake sa wallet ni Arthur Cheong ay nagresulta sa pagkawala ng higit sa $1.86 milyon. Samakatuwid, dapat palaging maging masigasig ang mga user kapag nag-aapruba ng mga kahilingan sa mga platform ng NFT. Dapat din nilang gamitin ang tracker ng kahilingan ng Etherscan hangga't maaari.
Ang Pangangailangan na Protektahan ang Iyong Mga Asset
Mahalagang tandaan na ang isyung ito ay hindi natatangi sa Rarible, dahil natuklasan ng Check Point ang isang katulad na depekto sa OpenSea noong nakaraang taon. Ang problema sa pamantayan ng transaksyon ng NFT ay ginagawa nitong mahirap para sa mga may hawak ng asset na matukoy ang kanilang pagiging tunay.
Samakatuwid, dapat mong suriin ang anumang bagay na hiniling mong maingat na lagdaan upang matiyak kung ano ang kinasasangkutan nito. Gayundin, iwasang pumirma ng anuman kung hindi ka sigurado kung ano ang kinasasangkutan nito. Inirerekomenda na tingnan ng mga user ang kanilang mga nakaraang pag-apruba ng token at bawiin ang mga mukhang mapanlinlang sa pamamagitan ng paggamit ng checker ng pag-apruba ng token na ito.
Dahil sa likas na katangian ng mga pag-atakeng ito, maaaring mas matagal bago makumpleto ang mga ito at maaaring makaapekto sa paglilipat ng mga asset. Habang patuloy na umuunlad ang teknolohiya ng blockchain, kailangang maging mas maingat ang mga namumuhunan kapag pinoprotektahan ang kanilang mga asset.
Ang Open Sea ay nasa Problema
Ayon sa dalawang nagsasakdal, nabigo ang OpenSea na tugunan ang mga kahinaan sa seguridad na nagpapahintulot sa mga hacker na magnakaw ng mga non-fungible token (NFT). Ang kabiguan na tugunan ang mga isyung ito ay nagdulot ng daan-daang libong dolyar na pinsala.
Ang isa pang gumagamit ay nagreklamo na ang OpenSea ay naglalagay ng responsibilidad sa mga gumagamit nito upang protektahan ang kanilang mga NFT. Dumating ito habang ang eksena ng NFT ay patuloy na sinasalot ng mga scam at pandaraya.
Ang mga demanda na isinampa laban sa OpenSea ng dalawang nagsasakdal ay maaaring magtakda ng isang precedent tungkol sa paghawak ng mga paghahabol na nauugnay sa NFT. Kung walang sentralisadong awtoridad, ang sistema ng hukuman ay magiging kapaki-pakinabang sa paghawak ng mga kasong ito.
Pinagmulan: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/