Kolejna giełda NFT z lukami bezpieczeństwa

Przeczytaj także: Hakerzy w świecie kryptowalut. Jak ich powstrzymać?

Rarible jest zaliczana jest do największych rynków NFT na świecie. W 2021 roku odnotowało ponad 273 mln dolarów obrotu. Odkryta przez badaczy luka w zabezpieczeniach umożliwiała cyberprzestępcom kradzież NFT oraz krypto-tokenów użytkownika w ramach jednej transakcji. Potencjalny atak pochodziłby ze złośliwego NFT udostępnionego na Rarible.

To już drugi raz, gdy analitycy Check Point Research odkryli luki w zabezpieczeniach na rynku NFT. W październiku 2021 r. wykryli problemy z bezpieczeństwem w OpenSea, największym na świecie rynku NFT.

Jak wyglądałby potencjalny atak? Ofiara przede wszystkim musiałaby kliknąć łącze do złośliwego NFT otrzymując bezpośredni link lub przeglądając ofertę rynku. W tym momencie złośliwy NFT wykonuje kod JavaScript i próbuje wysłać do ofiary żądanie setApprovalForAll. Udany atak zapewniał atakującemu pełny dostęp do NFT i krypto-tokena.

Check Point Research zainwestował znaczne środki w badanie kryptowalut i ich bezpieczeństwa. Nadal obserwujemy duże wysiłki cyberprzestępców, aby próbować przejąć duże zyski z kryptowalut, a zwłaszcza z rynków NFT. W październiku ubiegłego roku odkryliśmy krytyczne luki w zabezpieczeniach w OpenSea, największego na świecie rynku NFT. Z kolei teraz zidentyfikowaliśmy podobne luki w Rarible. Pod względem bezpieczeństwa nadal istnieje ogromna luka między infrastrukturą Web2 i Web3. Każda drobna luka otwiera furtkę dla cyberprzestępców w celu przejęcia portfeli
kryptowalutowych, niejako „zza sceny”. Nadal jesteśmy w stanie, w którym na rynkach, które łączą protokoły Web3, brakuje solidnych praktyk w zakresie bezpieczeństwa – mówi Oded Vanunu, szef działu badań nad podatnością produktów w Check Point Software.

Rarible stał się przedmiotem badań ze względu na wydarzenie z 1 kwietnia br., kiedy to dokonano ataku na tajwańskiego piosenkarza Jay Chou. Został on nakłoniony do transakcji, za sprawą której cyberprzestępcy wykradli jego NTF - BoardAppe NFT 3738, sprzedane następnie za pół miliona dolarów!

Analiza Rarible opierała się na poprzednich badaniach z października 2021 r., w których znaleziono krytyczne luki w zabezpieczeniach OpenSea, największego na świecie rynku NFT. Podatności platformy OpenSea umożliwiały hakerom przejmowanie kont użytkowników i kradzież całych portfeli kryptowalut poprzez tworzenie złośliwych NFT.

Check Point Research zaleca zachowanie ostrożności przy otrzymywaniu próśb o weryfikację.

• Przed zatwierdzeniem wniosku użytkownicy powinni dokładnie go przejrzeć i zastanowić się, czy wniosek nie wydaje się podejrzany.
• W przypadku jakichkolwiek wątpliwości zaleca się odrzucenie wniosku i dalsze jego zbadanie przed udzieleniem jakiejkolwiek autoryzacji.
• Zaleca się, aby użytkownicy przeglądali i cofali zatwierdzenia tokenów pod linkiem:
  https://etherscan.io/tokenapprovalchecker