חברת אבטחת סייבר מגלה פגיעות קריטית ב-NFT Marketplace Rarible

צ'ק פוינט, הבינלאומית האמריקאית-ישראלית המספקת מוצרי חומרה ותוכנה לאבטחת IT, חשפה זיהוי ליקוי אבטחה בשוק ה-NFT הפופולרי Rarible, המתגאה ביותר משני מיליון משתמשים פעילים חודשיים.

פגם אבטחה ב-Rarible

ב בלוג, CPR קבע כי הפגם, אם היה מנוצל, היה מאפשר לשחקן זדוני לשאוב את ה-NFTs ואת ארנקי ה-cryptocurrency של משתמש בעסקה אחת.

Rarible הוא אחד ממקומות השוק המבוססים ביותר במגזר NFTF. היא דיווחה על יותר מ-273 מיליון דולר בנפח מסחר בשנת 2021. לפיכך, CPR הזכירה שמשתמשי הפלטפורמה "פחות חשדנים ומכירים את הגשת עסקאות". חוקרים בחברה התריעו בפני Rarible על התגלית ב-5 באפריל, שבעקבותיו פלטפורמת NFT הכירה בפגם ותיקנה אותו מיד.

בהתאר את שיטת ההתקפה, החייאה ציינה:

"הקורבן מקבל קישור ל-NFT הזדוני או גולש בשוק ולוחץ עליו. ה-NFT הזדוני מבצע קוד JavaScript ומנסה לשלוח בקשה של setApprovalForAll לקורבן. הקורבן מגיש את הבקשה ומעניק גישה מלאה ל-NFT's/Crypto Token זה לתוקף."

החייאה הסתקרנה לראשונה ממקרים מסוג זה לאחר שזמר טייוואני פופולרי ג'יי צ'ו נפל קורבן למתקפת סייבר דומה. לפי הדיווחים, התוקפים גנבו את ה-NFT של צ'ו ומאוחר יותר מכרו אותו תמורת 500 אלף דולר.

מעניין שגם המשרד זוהה פרצות אבטחה קריטיות ב-OpenSea באוקטובר האחרון, שיכולות היו לאפשר לתוקפים "לחטוף חשבונות משתמש ולגנוב ארנקים שלמים של מטבעות קריפטוגרפיים על ידי יצירת NFT זדוני".

הוא גם קרא למשתמשים לנקוט משנה זהירות בזמן שהם בודקים את המבוקש. אם הבקשה נראית חריגה או חשודה, עליהם לדחות אותה ולבדוק אותה עוד לפני מתן אישור כלשהו.

התקפות משתוללות על שווקי NFT

הפיתוח מגיע קצת יותר מחודש לאחר שוק NFT מבוסס ארביטרום - TreasureDAO - עדים מאות מכשירי NFT נגנבים בניצול בסדרה של עסקאות. הישויות הזדוניות ניצלו פגיעות אבטחה בפרוטוקול שאפשרה להן להטביע אסימונים שאינם ניתנים לשינוי בחינם.

גם החזית הקדמית של OpenSea נוצלה בתחילת השנה, שנועדה למחזיקי Bored Ape Yacht Club (BAYC). כפי שדווח קודם לכן, העבריין הצליח לגנוב ETH בשווי של כ-750 אלף דולר.