Fuerscher vun der Cybersécherheetssoftwarefirma Check Point hunn eng Schwachstelle am Rarible NFT Maartplaz identifizéiert. Honnerte vun Dausende vu senge ronn zwou Milliounen aktive monatlecht Benotzer hätten hir NFTs verluer wann den Hacker et ausgefouert hätt.
Check Point verantwortlech Verëffentlechung
"En erfollegräichen Attack wier vun engem béiswëllegen NFT an der Rarible Maartplaz komm, selwer, wou d'Benotzer manner verdächteg sinn a vertraut sinn mat Transaktiounen ofzeginn," bemierkt Check Point Research.
D'Thema mat der "setApprovalForAll" Funktioun, Deel vum NFT EIP-721 Standard, ass datt et eng komplett Kontroll iwwer d'NFT Verméigen un eng aner Partei gëtt. Phishing Attacke kënnen entwéckelt ginn fir d'Verméigen vun hiren Affer ze klauen. Si kënne se iwwerzeegen fir eng Transaktiounsufro z'ënnerschreiwen déi ausgesäit wéi wann se vun enger legitimer Quell ass.
Wéinst engem Sécherheetsprobleem am Rarible kënnen d'Benotzer Mediendateien bis zu 100MB eropluede ouni se fir potenziell béiswëlleg Inhalter ze kontrolléieren. Fuerscher vu Check Point hunn dëst Thema exploitéiert andeems en SVG Bild erstallt huet deen eng béiswëlleg JavaScript Notzlaascht enthält.
De System wäert e Code ausféieren wann d'Zil op d'NFT Bild oder den IPFS Link klickt. Ausléiser also eng Transaktiounsufro an hirem Browser. Wann d'Zil d'Detailer vun der Transaktioun net versteet, kënnen se d'Ufro stëmmen. Et erlaabt den Ugräifer Zougang zu hirer ganzer Sammlung. Den Ugräifer géif dann d'Aktioun "TransferFrom" benotzen fir d'NFTs ze klauen an se an hire Portemonnaie ze transferéieren. Bedenkt datt dës Aktioun net reversibel ass.
D'Plattform CPR huet Rarible iwwer d'Thema am Abrëll 5. D'Firma huet direkt unerkannt a fixéiert de Problem.
NFT Déifstall ass eng Menace
Den Oded Vanunu, e Sécherheetsfuerscher bei Check Point Software, sot datt d'Firma sech un dëser Attack interesséiert huet nodeems den taiwanesesche Sänger Jay Chou Affer gouf. Chou's BoredApe # 3738 NFT gouf am Ufank Februar iwwer eng nefarious Transaktioun geschloen.
"Wann mir gesinn hunn datt dësen NFT geklaut gouf, huet et eis encouragéiert fir weider z'ënnersichen", sot Vanunu. Hien huet och bäigefüügt datt sou eng Schwachstelle op villen anere Plattformen méiglech wier. D'Vulnerabilitéit gouf séier vum Rarible fixéiert, wat d'Optioun fir SVG Dateien eropzelueden. Et huet déi béiswëlleg NFT Attack Optioun ofgeschloss, huet de Vanunu bäigefüügt.
Laut Vanunu hätt all Benotzer op der Plattform e Sécherheetsfehler ausgeléist. Hien huet awer net geschat, wéi vill kéint verluer goen. En ähnlechen Attack op dem Arthur Cheong säi Portemonnaie huet zum Verloscht vun iwwer 1.86 Milliounen Dollar gefouert. Dofir sollten d'Benotzer ëmmer fläisseg sinn wann se Ufroen op NFT Plattformen approuvéieren. Si sollten och den Etherscan Ufro Tracker benotzen wann et méiglech ass.
De Besoin fir Är Verméigen ze schützen
Et ass wichteg ze notéieren datt dëst Thema net eenzegaarteg ass fir Rarible, well Check Point d'lescht Joer en ähnleche Feeler op OpenSea entdeckt huet. De Problem mam NFT Transaktiounsstandard ass datt et et schwéier mécht fir Assethalter hir Authentizitéit ze bestëmmen.
Dofir sollt Dir alles iwwerpréiwen, wat Dir opgefuerdert sidd suergfälteg z'ënnerschreiwen, fir erauszefannen wat et involvéiert. Vermeit och eppes z'ënnerschreiwen wann Dir net sécher sidd wat et implizéiert. Et ass recommandéiert datt d'Benotzer hir fréier Token Genehmegungen kucken an déi zréckzéien, déi betrügeresch schéngen, andeems Dir dësen Token Genehmegungschecker benotzt.
Wéinst der Natur vun dësen Attacke kënne se méi laang daueren fir ze kompletéieren a kënnen den Transfer vun Verméigen beaflossen. Wéi d'Blockchain Technologie weider evoluéiert, mussen Investisseuren méi virsiichteg sinn wann se hir Verméigen schützen.
Open Sea ass an Trouble
Laut zwee Kläger huet OpenSea net gescheitert Sécherheetsschwieregkeeten unzegoen, déi Hacker erlaabt hunn net-fungibel Tokens (NFTs) ze klauen. De Versoen dës Themen unzegoen huet Honnerte vun Dausende vun Dollar u Schued verursaacht.
En anere Benotzer huet beschwéiert datt OpenSea d'Onus op seng Benotzer setzt fir hir NFTs ze schützen. Et kënnt wéi d'NFT Szen weider vu Scams a Bedruch geplot gëtt.
D'Klagen, déi géint OpenSea vun den zwee Kläger agereecht goufen, kënnen e Präzedenz betreffend d'Handhabung vun NFT-relatéierten Fuerderungen setzen. Beim Fehlen vun enger zentraliséierter Autoritéit wäert de Geriichtssystem gutt sinn fir dës Fäll ze behandelen.
Quell: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/