חוקרים בחברת תוכנת אבטחת הסייבר צ'ק פוינט זיהו פגיעות בשוק Rarible NFT. מאות אלפים מתוך כשני מיליון המשתמשים החודשיים הפעילים שלה היו מאבדים את ה-NFT שלהם אם ההאקר היה מבצע את זה.
הגילוי האחראי של צ'ק פוינט
"מתקפה מוצלחת הייתה מגיעה מ-NFT זדוני בתוך השוק של Rarible, עצמו, שבו המשתמשים פחות חשדניים ומכירים את שליחת עסקאות", ציינה צ'ק פוינט מחקר.
הבעיה עם הפונקציה "setApprovalForAll", חלק מתקן NFT EIP-721, היא שהיא נותנת שליטה מלאה על נכסי ה-NFT לצד אחר. התקפות פישינג יכולות להיות מתוכננות כדי לגנוב את הנכסים של הקורבנות שלהם. הם יכולים לשכנע אותם לחתום על בקשת עסקה שנראית כאילו היא ממקור לגיטימי.
עקב בעיית אבטחה ב-Rarible, משתמשים יכלו להעלות קבצי מדיה של עד 100MB מבלי לבדוק אם יש בהם תוכן זדוני. חוקרים מצ'ק פוינט ניצלו בעיה זו על ידי יצירת תמונת SVG שהכילה מטען זדוני של JavaScript.
המערכת תפעיל קוד אם המטרה תלחץ על תמונת ה-NFT או על קישור ה-IPFS. לפיכך, הפעל בקשת עסקה בדפדפן שלהם. אם היעד לא מבין את פרטי העסקה, הם עשויים לאשר את הבקשה. זה מאפשר לתוקף לגשת לכל האוסף שלו. לאחר מכן, התוקף ישתמש בפעולת "העברה מאת" כדי לגנוב את ה-NFTs ולהעביר אותם לארנק שלו. שימו לב שפעולה זו אינה הפיכה.
פלטפורמת החייאה הודיעה לרריבל על הנושא ב-5 באפריל. החברה הודתה מיד ותיקנה את הבעיה.
גניבת NFT היא איום
עודד ואנונו, חוקר אבטחה בצ'ק פוינט תוכנה, אמר כי החברה החלה להתעניין במתקפה זו לאחר שהזמר הטיוואני ג'יי צ'ו הפך לקורבן. ה-Chou's BoredApe #3738 NFT הוסר באמצעות עסקה מרושעת בתחילת פברואר.
"ברגע שראינו שה-NFT הזה נגנב, זה תמריץ אותנו לחקור עוד", אמר ואנונו. הוא גם הוסיף שפגיעות כזו יכולה להיות אפשרית בפלטפורמות רבות אחרות. הפגיעות תוקנה במהירות על ידי Rarible, אשר הסירה את האפשרות להעלות קבצי SVG. זה סיים את אפשרות התקפת NFT זדונית, הוסיף Vanunu.
לפי Vanunu, כל משתמש בפלטפורמה יכול היה לגרום לליקוי אבטחה. עם זאת, הוא לא העריך כמה יכול היה ללכת לאיבוד. מתקפה דומה על ארנקו של ארתור צ'ונג הביאה להפסד של למעלה מ-1.86 מיליון דולר. לפיכך, המשתמשים צריכים תמיד להיות שקולים בעת אישור בקשות בפלטפורמות NFT. הם צריכים גם להשתמש במעקב הבקשות של Etherscan במידת האפשר.
הצורך להגן על הנכסים שלך
חשוב לציין שנושא זה אינו ייחודי לראריבל, שכן צ'ק פוינט גילתה פגם דומה ב-OpenSea בשנה שעברה. הבעיה בתקן עסקאות NFT היא שהוא מקשה על מחזיקי נכסים לקבוע את האותנטיות שלהם.
לכן, עליך לבחון כל דבר שאתה מתבקש לחתום עליו בקפידה כדי לוודא במה מדובר. כמו כן, הימנע מחתימה על כל דבר אם אינך בטוח במה זה כרוך. מומלץ למשתמשים לראות את אישורי האסימונים הקודמים שלהם ולבטל את אלה שנראים הונאה באמצעות בודק אישור אסימון זה.
בשל אופי ההתקפות הללו, הן עשויות להימשך זמן רב יותר להשלמתן ויכולות להשפיע על העברת הנכסים. ככל שטכנולוגיית הבלוקצ'יין ממשיכה להתפתח, המשקיעים צריכים להיות זהירים יותר בהגנה על הנכסים שלהם.
הים הפתוח בבעיה
לטענת שני תובעים, OpenSea לא הצליחה לטפל בפרצות אבטחה שאפשרו להאקרים לגנוב אסימונים שאינם ניתנים לשינוי (NFT). הכישלון בטיפול בבעיות אלו גרם לנזקים של מאות אלפי דולרים.
משתמש אחר התלונן ש-OpenSea מטילה את האחריות על המשתמשים שלה להגן על ה-NFTs שלהם. זה מגיע כשסצנת ה-NFT ממשיכה להיות נגועה בהונאות והונאות.
התביעות שהגישו נגד OpenSea על ידי שני התובעים עשויות ליצור תקדים בנוגע לטיפול בתביעות הקשורות ל-NFT. בהעדר סמכות ריכוזית, מערכת בתי המשפט תועיל בטיפול בתיקים אלו.
מקור: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/