Cánhtay nghiên cứu của công ty phần mềm an ninh mạng Check Point cho biết họ đã xác định một lỗ hổng trong thị trường Rarible NFT có thể thấy nhiều trong số khoảng hai triệu của nó người dùng hoạt động hàng tháng mất NFT của họ trong một giao dịch duy nhất.
CheckPoint là một công ty bảo mật CNTT đa quốc gia được thành lập tại Ramat Gan, Israel vào năm 1993 và cũng tuyên bố có các vấn đề phát hiện liên quan đến airdrops độc hại trên OpenSea trở lại vào tháng 10 năm 2021.
Theocác tài liệu được chia sẻ với Cointelegraph, Check Point Research (CPR) gần đây đã phát hiện ra rằng các tác nhân độc hại có thể gửi cho người dùng một liên kết đáng ngờ đến một NFT thực thi mã javascript sau khi nhấp vào đó “cố gắng gửi yêu cầu setApprovalForAll cho nạn nhân.”
Nếuliên kết được nhấp, người dùng cấp quyền truy cập đầy đủ vào ví của họ trên Rarible. CPR tuyên bố rằng họ ngay lập tức thông báo Rarible vào ngày 5 tháng 4, với nền tảng này ngay lập tức thừa nhận và khắc phục lỗ hổng bảo mật:
“Nếu bị khai thác, lỗ hổng này sẽ cho phép một diễn viên đe dọa ăn cắp NFT và ví tiền điện tử của người dùng trong một giao dịch duy nhất. Một cuộc tấn công thành công sẽ đến từ một NFT độc hại trong chính thị trường của Rarible, nơi người dùng ít nghi ngờ và quen thuộc với việc gửi các giao dịch.
NFTTheft
Speaking with Cointelegraph, Oded Vanunu, Trưởng phòng Nghiên cứu lỗ hổng sản phẩm tại Check Point Software cho biết nhóm của ông trở nên quan tâm đến loại lừa đảo này sau khi ca sĩ Đài Loan Jay Chou trở thành nạn nhân của một cuộc tấn công tương tự. BoredApe #3738 NFT của Chou đã được vuốt qua một giao dịch bất chính vào đầu tháng này.
“Một khi chúng tôi thấy rằng NFT này đã bị đánh cắp, nó đã cho chúng tôi động lực để điều tra thêm.” Một lỗ hổng như vậy cũng có thể có trên nhiều nền tảng khác, Vanunu nói.
“Rarible thừa nhận lỗ hổng bảo mật một cách nhanh chóng và cố định nó bằng cách xóa tùy chọn tải lên tệp SVG. Điều này chấm dứt tùy chọn tấn công NFT độc hại,” Vanunu xác nhận.
Liênquan: Trezor điều tra vi phạm dữ liệu tiềm ẩn khi người dùng trích dẫn các cuộc tấn công lừa đảo
Vanunu từ chối ước tính giá trị tiềm năng mất rằng lỗ hổng bảo mật có thể dẫn đến, vì nó có thể đã được “kích hoạt trên bất kỳ người dùng nào trên nền tảng.” Đáng chú ý, một cuộc tấn công tương tự chỉ vào một ví duy nhất thuộc về người sáng lập DeFiance Capital Arthur0x vào tháng trước, dẫn đến việc mất khoảng 600 Ether (1,86 triệu đô la).
CPRkêu gọi người dùng siêng năng bất cứ lúc nào họ phê duyệt bất kỳ yêu cầu nào trên nền tảng NFT và xác minh tất cả chúng thông qua trình theo dõi yêu cầu của Etherscan trong những thời điểm không chắc chắn.
Cointelegraphđã liên hệ với Rarible để nhận xét về vấn đề này và sẽ cập nhật câu chuyện nếu công ty trả lời.
