Ang Check Point, ang American-Israeli multinational na nagbibigay ng hardware at software na mga produkto para sa IT security, ay nagsiwalat ng pagtukoy ng isang depekto sa seguridad sa sikat na NFT marketplace na Rarible, na ipinagmamalaki ang mahigit dalawang milyong buwanang aktibong user.
Security Flaw sa Rarible
Sa isang blog post, sinabi ng CPR na ang kapintasan, kung pinagsasamantalahan, ay magbibigay-daan sa isang malisyosong aktor na siphon ang mga NFT at cryptocurrency wallet ng isang user sa isang transaksyon.
Ang Rarible ay isa sa pinakamatatag na marketplace sa sektor ng NFTF. Nag-ulat ito ng higit sa $273 milyon sa dami ng kalakalan noong 2021. Kaya naman, binanggit ng CPR na ang mga gumagamit ng platform ay "hindi gaanong kahina-hinala at pamilyar sa pagsusumite ng mga transaksyon." Inalerto ng mga mananaliksik sa firm si Rarible tungkol sa pagtuklas noong ika-5 ng Abril, kasunod nito ay kinilala ng NFT platform ang kapintasan at agad itong inayos.
Binabalangkas ang paraan ng pag-atake, sinabi ng CPR:
“Nakatanggap ang biktima ng link sa malisyosong NFT o nagba-browse sa marketplace at nag-click dito. Ang Malicious NFT ay nagpapatupad ng JavaScript code at sumusubok na magpadala ng setApprovalForAll na kahilingan sa biktima. Ang biktima ay nagsumite ng kahilingan at nagbibigay ng ganap na access sa NFT's/Crypto Token na ito sa umaatake."
Ang CPR ay unang na-intriga sa mga ganitong uri ng kaso matapos ang isang sikat na Taiwanese na mang-aawit na si Jay Chou ay naging biktima ng katulad na cyber-attack. Iniulat, ninakaw ng mga umaatake ang NFT ni Chou at kalaunan ay ibinenta ito ng $500k.
Kawili-wili, ang kumpanya din napansin kritikal na mga kahinaan sa seguridad sa OpenSea noong Oktubre, na maaaring makapagbigay sa mga umaatake na “i-hijack ang mga user account at magnakaw ng buong mga wallet ng cryptocurrency sa pamamagitan ng paggawa ng mga malisyosong NFT.”
Hinikayat din nito ang mga gumagamit na mag-ingat habang sinusuri kung ano ang hinihiling. Kung mukhang abnormal o kahina-hinala ang kahilingan, dapat nilang tanggihan ito at siyasatin pa bago magbigay ng anumang uri ng pahintulot.
Talamak na Pag-atake sa NFT Marketplaces
Dumating ang pag-unlad sa loob ng isang buwan pagkatapos ng Arbitrum-based na NFT marketplace – TreasureDAO – nakasaksi daan-daang NFT ang ninakaw sa isang pagsasamantala sa isang serye ng mga transaksyon. Sinamantala ng mga nakakahamak na entity ang isang kahinaan sa seguridad sa protocol na nagbigay-daan sa kanila na gumawa ng mga non-fungible na token nang libre.
Ang front-end ng OpenSea ay pinagsamantalahan din sa simula ng taon, na naka-target sa mga may hawak ng Bored Ape Yacht Club (BAYC). Tulad ng naiulat kanina, ang salarin pinamamahalaan para magnakaw ng humigit-kumulang $750K na halaga ng ETH.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/