Check Point, ამერიკულ-ისრაელის მრავალეროვნულმა კომპანიამ, რომელიც უზრუნველყოფს ტექნიკისა და პროგრამული უზრუნველყოფის პროდუქტებს IT უსაფრთხოებისთვის, გამოავლინა უსაფრთხოების ხარვეზი პოპულარულ NFT ბაზარზე Rarible-ში, რომელიც ამაყობს ყოველთვიურად ორ მილიონზე მეტი აქტიური მომხმარებელით.
უსაფრთხოების ხარვეზი Rarible-ზე
In დღიურში შეტყობინებაCPR-მ განაცხადა, რომ ხარვეზი, გამოყენების შემთხვევაში, საშუალებას მისცემდა მავნე მოქმედს ამოეგდო მომხმარებლის NFT-ები და კრიპტოვალუტის საფულეები ერთ ტრანზაქციაში.
Rarible არის ერთ-ერთი ყველაზე დამკვიდრებული ბაზარი NFTF სექტორში. მან დააფიქსირა $273 მილიონზე მეტი ვაჭრობის მოცულობა 2021 წელს. აქედან გამომდინარე, CPR აღნიშნა, რომ პლატფორმის მომხმარებლები "ნაკლებად საეჭვო და კარგად იცნობენ ტრანზაქციების წარდგენას". ფირმის მკვლევარებმა 5 აპრილს გააფრთხილეს რარიბლის აღმოჩენა, რის შემდეგაც NFT პლატფორმამ აღიარა ხარვეზი და დაუყოვნებლივ გაასწორა.
თავდასხმის მეთოდის გამოკვეთისას CPR აღნიშნა:
„მსხვერპლი იღებს ბმულს მავნე NFT-ზე ან ათვალიერებს ბაზარს და დააწკაპუნებს მასზე. მავნე NFT ახორციელებს JavaScript კოდს და ცდილობს გაუგზავნოს setApprovalForAll მოთხოვნა მსხვერპლს. მსხვერპლი წარუდგენს მოთხოვნას და ანიჭებს სრულ წვდომას ამ NFT-ის/კრიპტო ტოკენზე თავდამსხმელს.”
CPR პირველად დაინტერესდა ამ ტიპის შემთხვევებით მას შემდეგ, რაც პოპულარული ტაივნელი მომღერალი ჯეი ჩო გახდა მსგავსი კიბერშეტევის მსხვერპლი. გავრცელებული ინფორმაციით, თავდამსხმელებმა Chou's NFT მოიპარეს და მოგვიანებით 500 ათას დოლარად გაყიდეს.
საინტერესოა ფირმაც გამოვლინდა კრიტიკული უსაფრთხოების ხარვეზები OpenSea-ზე გასული წლის ოქტომბერში, რამაც შესაძლოა თავდამსხმელებს საშუალება მისცეს „გაეპარათ მომხმარებლის ანგარიშები და მოიპარონ მთელი კრიპტოვალუტის საფულეები მავნე NFT-ების შექმნით“.
მან ასევე მოუწოდა მომხმარებლებს გამოიჩინონ სიფრთხილე მოთხოვნის განხილვისას. თუ მოთხოვნა არანორმალური ან საეჭვოა, მათ უნდა უარყოთ იგი და შემდგომ შეამოწმონ იგი რაიმე სახის ავტორიზაციის გაცემამდე.
ყოვლისმომცველი თავდასხმები NFT ბაზრებზე
განვითარება ხდება Arbitrum-ზე დაფუძნებული NFT ბაზრიდან ერთ თვეზე მეტხანს – TreasureDAO – მოწმე ასობით NFT-ის მოპარვა ექსპლუატაციის მიზნით, ოპერაციების სერიაში. მავნე სუბიექტებმა გამოიყენეს პროტოკოლში არსებული უსაფრთხოების დაუცველობა, რომელიც მათ საშუალებას აძლევდა, უფასოდ მოეხდინათ არაფუნგირებადი ტოკენები.
OpenSea-ს ფრონტ-ენდი ასევე გამოიყენეს წლის დასაწყისში, რომელიც მიზნად ისახავდა Bored Ape Yacht Club (BAYC) მფლობელებს. როგორც ადრე გავრცელდა ინფორმაცია, დამნაშავე მართვა მოიპარონ დაახლოებით 750 ათასი აშშ დოლარის ღირებულების ETH.
Binance უფასო $100 (ექსკლუზიური): გამოიყენეთ ეს ბმული დარეგისტრირდეთ და მიიღოთ $100 უფასო და 10% ფასდაკლება Binance Futures-ის პირველ თვეში (ტერმინები).
PrimeXBT სპეციალური შეთავაზება: გამოიყენეთ ეს ბმული დარეგისტრირდით და შეიყვანეთ POTATO50 კოდი, რომ მიიღოთ $7,000-მდე თქვენს დეპოზიტებზე.
წყარო: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/