კიბერუსაფრთხოების პროგრამული უზრუნველყოფის ფირმა Check Point-ის მკვლევარებმა დაადგინეს დაუცველობა Rarible NFT ბაზარზე. ასიათასობით მისი დაახლოებით ორი მილიონი აქტიური ყოველთვიური მომხმარებელი დაკარგავდა თავის NFT-ებს, თუ ჰაკერმა იგი შეასრულა.
Check Point-ის პასუხისმგებელი გამჟღავნება
„წარმატებული თავდასხმა მოხდებოდა მავნე NFT-დან Rarible-ის ბაზარში, სადაც მომხმარებლები ნაკლებად არიან საეჭვო და იცნობენ ტრანზაქციების წარდგენას“, - აღნიშნა Check Point Research-მა.
NFT EIP-721 სტანდარტის ნაწილი „setApprovalForAll“ ფუნქციის პრობლემა არის ის, რომ ის სრულ კონტროლს აძლევს NFT აქტივებზე სხვა მხარეს. ფიშინგის თავდასხმები შეიძლება შექმნილი იყოს მათი მსხვერპლის აქტივების მოსაპარად. მათ შეუძლიათ დაარწმუნონ ისინი ხელი მოაწერონ ტრანზაქციის მოთხოვნას, რომელიც თითქოს ლეგიტიმური წყაროდანაა.
Rarible-ში უსაფრთხოების პრობლემის გამო, მომხმარებლებს შეეძლოთ ატვირთონ მედია ფაილები 100 მბ-მდე, პოტენციურად მავნე შინაარსის შემოწმების გარეშე. Check Point-ის მკვლევარებმა გამოიყენეს ეს საკითხი SVG სურათის შექმნით, რომელიც შეიცავდა მავნე JavaScript დატვირთვას.
სისტემა შეასრულებს კოდს, თუ სამიზნე დააწკაპუნებს NFT სურათზე ან IPFS ბმულზე. აქედან გამომდინარე, გააქტიურეთ ტრანზაქციის მოთხოვნა მათ ბრაუზერში. თუ სამიზნე არ ესმის ტრანზაქციის დეტალებს, მათ შეუძლიათ დაამტკიცონ მოთხოვნა. ის საშუალებას აძლევს თავდამსხმელს წვდომა ჰქონდეს მთელ კოლექციაზე. შემდეგ თავდამსხმელი გამოიყენებდა „transferFrom“-ს მოქმედებას NFT-ების მოსაპარად და მათ საფულეში გადასატანად. გაითვალისწინეთ, რომ ეს მოქმედება შეუქცევადია.
პლატფორმა CPR-მა აცნობა რარიბლს ამ საკითხის შესახებ 5 აპრილს. კომპანიამ მაშინვე აღიარა და მოაგვარა პრობლემა.
NFT ქურდობა საფრთხეა
Check Point Software-ის უსაფრთხოების მკვლევარმა ოდედ ვანუნუმ თქვა, რომ კომპანია ამ შეტევით მას შემდეგ დაინტერესდა, რაც ტაივნელი მომღერალი ჯეი ჩო გახდა მსხვერპლი. Chou's BoredApe #3738 NFT ააფეთქეს ბოროტი ტრანზაქციის საშუალებით თებერვლის დასაწყისში.
„მას შემდეგ, რაც დავინახეთ, რომ ეს NFT მოიპარეს, ამან მოგვცა სტიმული შემდგომი გამოძიების მიზნით“, - თქვა ვანუნუმ. მან ასევე დაამატა, რომ ასეთი დაუცველობა შესაძლებელია ბევრ სხვა პლატფორმაზე. დაუცველობა სწრაფად დააფიქსირა Rarible-მა, რომელმაც გააუქმა SVG ფაილების ატვირთვის შესაძლებლობა. მან შეწყვიტა მავნე NFT თავდასხმის ვარიანტი, დასძინა ვანუნუმ.
ვანუნუს თქმით, პლატფორმაზე ნებისმიერ მომხმარებელს შეეძლო უსაფრთხოების ხარვეზი გამოეწვია. თუმცა, მან არ დააფასა, რამდენის დაკარგვა შეიძლებოდა. არტურ ჩეონგის საფულეზე მსგავსმა თავდასხმამ 1.86 მილიონ დოლარზე მეტი დაკარგა. აქედან გამომდინარე, მომხმარებლები ყოველთვის გულმოდგინე უნდა იყვნენ NFT პლატფორმებზე მოთხოვნების დამტკიცებისას. მათ ასევე უნდა გამოიყენონ Etherscan-ის მოთხოვნის ტრეკერი შეძლებისდაგვარად.
თქვენი აქტივების დაცვის აუცილებლობა
მნიშვნელოვანია აღინიშნოს, რომ ეს საკითხი არ არის უნიკალური Rarible-ისთვის, რადგან Check Point-მა მსგავსი ხარვეზი აღმოაჩინა OpenSea-ზე გასულ წელს. NFT ტრანზაქციის სტანდარტის პრობლემა არის ის, რომ ართულებს აქტივების მფლობელებს მათი ავთენტურობის დადგენა.
ამიტომ, თქვენ უნდა შეამოწმოთ ყველაფერი, რისი ხელმოწერასაც მოგთხოვენ, რათა დადგინდეს, რას მოიცავს. ასევე, მოერიდეთ რაიმეზე ხელმოწერას, თუ არ ხართ დარწმუნებული, რას მოიცავს. რეკომენდირებულია, რომ მომხმარებლებმა ნახონ თავიანთი წინა ტოკენ დამტკიცებები და გააუქმონ ის, რაც თაღლითურად გამოიყურება, ამ ტოკენის დამტკიცების შემმოწმებლის გამოყენებით.
ამ თავდასხმების ხასიათიდან გამომდინარე, მათ შეიძლება მეტი დრო დასჭირდეს და შეიძლება გავლენა იქონიოს აქტივების გადაცემაზე. ბლოკჩეინის ტექნოლოგია აგრძელებს განვითარებას, ინვესტორები უფრო ფრთხილად უნდა იყვნენ თავიანთი აქტივების დაცვისას.
ღია ზღვა უსიამოვნებაშია
ორი მოსარჩელის თქმით, OpenSea-მ ვერ მოაგვარა უსაფრთხოების ხარვეზები, რაც ჰაკერებს საშუალებას აძლევდა მოეპარათ არასაცვალებადი ტოკენები (NFT). ამ საკითხების შეუსრულებლობამ ასობით ათასი დოლარის ზარალი გამოიწვია.
კიდევ ერთი მომხმარებელი ჩიოდა, რომ OpenSea აკისრებს თავის მომხმარებლებს NFT-ების დასაცავად. ეს ხდება მაშინ, როდესაც NFT სცენა აგრძელებს თაღლითობასა და თაღლითობას.
ორი მოსარჩელის მიერ OpenSea-ს წინააღმდეგ შეტანილმა სარჩელებმა შეიძლება შექმნას პრეცედენტი NFT-თან დაკავშირებულ პრეტენზიებთან დაკავშირებით. ცენტრალიზებული ხელისუფლების არარსებობის შემთხვევაში სასამართლო სისტემა მომგებიანი იქნება ამ საქმეების განხილვაში.
წყარო: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/