Даследчыкі фірмы па праграмным забеспячэнні кібербяспекі Check Point выявілі ўразлівасць на рынку Rarible NFT. Сотні тысяч з прыкладна двух мільёнаў актыўных карыстальнікаў штомесяц страцілі б свае NFT, калі б хакер выканаў яго.
Адказнае раскрыццё інфармацыі Check Point
«Паспяховая атака магла б адбыцца ад шкоднаснага NFT на самім рынку Rarible, дзе карыстальнікі менш падазроныя і знаёмыя з адпраўкай транзакцый», — адзначылі ў Check Point Research.
Праблема з функцыяй «setApprovalForAll», часткай стандарту NFT EIP-721, заключаецца ў тым, што яна дае поўны кантроль над актывамі NFT іншаму боку. Фішынгавыя атакі могуць быць распрацаваны для крадзяжу актываў іх ахвяр. Яны могуць пераканаць іх падпісаць запыт на транзакцыю, які выглядае так, быццам ён паходзіць з законнай крыніцы.
З-за праблемы бяспекі ў Rarible карыстальнікі маглі загружаць мультымедыйныя файлы памерам да 100 МБ, не правяраючы іх на наяўнасць патэнцыйна шкоднаснага кантэнту. Даследчыкі з Check Point скарысталіся гэтай праблемай, стварыўшы выяву SVG, якая змяшчае шкоднасную карысную нагрузку JavaScript.
Сістэма выканае код, калі мэта націсне на малюнак NFT або спасылку IPFS. Такім чынам, запусціце запыт транзакцыі ў іх браўзеры. Калі мэта не разумее дэталяў транзакцыі, яна можа ўхваліць запыт. Гэта дазваляе зламысніку атрымаць доступ да ўсёй іх калекцыі. Затым зламыснік выкарыстаў бы дзеянне «transferFrom», каб скрасці NFT і перавесці іх на свой кашалёк. Звярніце ўвагу, што гэта дзеянне не падлягае звароту.
Платформа CPR паведаміла Rarible аб праблеме 5 красавіка. Кампанія неадкладна прызнала і выправіла праблему.
Крадзеж NFT - гэта пагроза
Адэд Вануну, даследчык бяспекі ў Check Point Software, сказаў, што кампанія зацікавілася гэтай атакай пасля таго, як ахвярай стаў тайваньскі спявак Джэй Чоу. BoredApe #3738 NFT Чоу быў выкрадзены праз гнюсную транзакцыю ў пачатку лютага.
«Як толькі мы ўбачылі, што гэты NFT быў скрадзены, гэта падштурхнула нас да далейшага расследавання», — сказаў Вануну. Ён таксама дадаў, што такая ўразлівасць можа быць магчымая на многіх іншых платформах. Уразлівасць была хутка выпраўлена Rarible, які выдаліў магчымасць загрузкі файлаў SVG. Гэта спыніла варыянт шкоднаснай атакі NFT, дадаў Вануну.
Па словах Вануну, любы карыстальнік платформы мог выклікаць недахоп бяспекі. Аднак ён не стаў ацэньваць, колькі магло быць страчана. Аналагічная атака на кашалёк Артура Чонга прывяла да страты больш за 1.86 мільёна долараў. Такім чынам, карыстальнікі заўсёды павінны быць уважлівымі пры ўхваленні запытаў на платформах NFT. Яны таксама павінны выкарыстоўваць трэкер запытаў Etherscan, калі гэта магчыма.
Неабходнасць абароны вашых актываў
Важна адзначыць, што гэтая праблема характэрная не толькі для Rarible, бо ў мінулым годзе Check Point выявіла падобны недахоп на OpenSea. Праблема стандарту транзакцый NFT заключаецца ў тым, што ўладальнікам актываў цяжка вызначыць іх сапраўднасць.
Такім чынам, вы павінны ўважліва вывучыць усё, што вас просяць падпісаць, каб высветліць, што гэта ўключае ў сябе. Акрамя таго, пазбягайце падпісваць што-небудзь, калі вы не ўпэўненыя ў тым, што гэта ўключае ў сябе. Рэкамендуецца, каб карыстальнікі праглядалі свае папярэднія зацвярджэння токенаў і адклікалі тыя, якія здаюцца ашуканскімі, выкарыстоўваючы гэты сродак праверкі зацвярджэння токенаў.
З-за характару гэтых нападаў іх выкананне можа заняць больш часу і можа паўплываць на перадачу актываў. Паколькі тэхналогія блокчэйн працягвае развівацца, інвестары павінны быць больш асцярожнымі пры абароне сваіх актываў.
Адкрытае мора ў бядзе
Па словах двух пазоўнікаў, OpenSea не змагла ліквідаваць уразлівасці бяспекі, якія дазволілі хакерам скрасці незаменныя токены (NFT). Адмова ад вырашэння гэтых праблем прычыніла страты ў сотні тысяч долараў.
Іншы карыстальнік паскардзіўся, што OpenSea ўскладае на сваіх карыстальнікаў абавязак абараняць іх NFT. Гэта адбываецца ў той час, калі сцэна NFT па-ранейшаму пакутуе ад махлярства і махлярства.
Пазовы, пададзеныя супраць OpenSea двума пазоўнікамі, могуць стварыць прэцэдэнт у дачыненні да разгляду прэтэнзій, звязаных з NFT. Пры адсутнасці цэнтралізаванай улады судовая сістэма будзе карыснай для разгляду гэтых спраў.
Крыніца: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/