Исследователи обнаружили брешь в безопасности Rarible: пользователи могли потерять все свои NFT

Исследовательское подразделение компании Check Point, занимающейся разработкой программного обеспечения для кибербезопасности, заявило, что обнаружило уязвимость на рынке Rarible NFT, из-за которой многие из его примерно двух миллионов активных ежемесячных пользователей могли потерять свои NFT за одну транзакцию.

Check Point — многонациональная фирма по обеспечению ИТ-безопасности, которая была основана в Рамат-Гане, Израиль, в 1993 году, а также заявила, что в октябре 2021 года обнаружила проблемы, связанные с вредоносными аирдропами на OpenSea.

Согласно документам, переданным Cointelegraph, Check Point Research (CPR) недавно обнаружила, что злоумышленники могут отправлять пользователям сомнительную ссылку на NFT, который выполняет код JavaScript после нажатия на кнопку, которая «попытается отправить жертве запрос setApprovalForAll».

При нажатии на ссылку пользователь предоставляет полный доступ к своим кошелькам на Rarible. CPR заявила, что 5 апреля немедленно уведомила Rarible, а платформа сразу же признала и исправила уязвимость в безопасности:

«В случае эксплуатации уязвимость позволила бы злоумышленнику украсть пользовательские NFT и криптовалютные кошельки за одну транзакцию. Успешная атака могла бы произойти с помощью вредоносного NFT на самой торговой площадке Raribles, где пользователи менее подозрительны и знакомы с отправкой транзакций. ."

Кража NFT

В беседе с Cointelegraph Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point Software, сказал, что его команда заинтересовалась этим видом мошенничества после того, как тайваньский певец Джей Чоу стал жертвой аналогичной атаки. Chou`s BoredApe #3738 NFT был украден мошеннической транзакцией в начале этого месяца.

«Как только мы увидели, что этот NFT был украден, это дало нам стимул для дальнейшего расследования». По словам Вануну, такая уязвимость возможна и на многих других платформах.

«Rarible быстро признал брешь в системе безопасности и устранил ее, удалив опцию загрузки файла SVG. Это предотвратило возможность злонамеренной атаки NFT», — подтвердил Вануну.

Вануну отказался оценить потенциальную потерю ценности, к которой могла привести уязвимость в системе безопасности, поскольку она могла «сработать на любом пользователе на платформе». Примечательно, что аналогичная атака всего на один кошелек, принадлежащий основателю DeFiance Capital Arthur0x в прошлом месяце, привела к потере примерно 600 эфиров (1,86 миллиона долларов).

CPR призвал пользователей проявлять осмотрительность каждый раз, когда они утверждают какие-либо запросы на платформах NFT, и проверять их все с помощью средства отслеживания запросов Etherscan в периоды неопределенности.

Коинтелеграф обратился к Rarible за комментариями по этому поводу и обновит историю, если компания ответит.