Check Point киберқауіпсіздік бағдарламалық қамтамасыз ету фирмасының зерттеушілері Rarible NFT нарығында осалдықты анықтады. Егер хакер оны орындаған болса, оның екі миллионға жуық белсенді ай сайынғы пайдаланушыларының жүздеген мыңдары NFT-терін жоғалтқан болар еді.
Check Point компаниясының жауапты ашуы
«Сәтті шабуыл пайдаланушылар транзакцияларды жіберуге күдікті және жақсы таныс емес Rarible нарығындағы зиянды NFT арқылы жасалуы мүмкін», - деп атап өтті Check Point Research.
NFT EIP-721 стандартының бөлігі болып табылатын “setApprovalForAll” функциясына қатысты мәселе оның NFT активтерін басқа тарапқа толық бақылауды қамтамасыз етуінде. Фишингтік шабуылдар құрбандарының активтерін ұрлау үшін жасалуы мүмкін. Олар оларды транзакция сұрауына қол қоюға сендіре алады, ол заңды көзден алынған сияқты.
Rarible қолданбасындағы қауіпсіздік мәселесіне байланысты пайдаланушылар ықтимал зиянды мазмұнды тексермей 100 МБ дейінгі медиа файлдарды жүктеп сала алады. Check Point зерттеушілері зиянды JavaScript пайдалы жүктемесі бар SVG кескінін жасау арқылы бұл мәселені пайдаланды.
Егер мақсат NFT кескінін немесе IPFS сілтемесін басқан болса, жүйе кодты орындайды. Осылайша, олардың браузерінде транзакция сұрауын іске қосыңыз. Егер мақсат транзакцияның мәліметтерін түсінбесе, олар сұрауды мақұлдауы мүмкін. Ол шабуылдаушыға өзінің бүкіл жинағына қол жеткізуге мүмкіндік береді. Содан кейін шабуылдаушы NFT-терді ұрлау және оларды әмиянға аудару үшін «transferFrom» әрекетін қолданады. Бұл әрекеттің қайтымсыз екенін ескеріңіз.
CPR платформасы бұл мәселе туралы 5 сәуірде Rarible-ге хабарлады. Компания мәселені бірден мойындап, жөндеді.
NFT ұрлығы - бұл қауіп
Check Point Software компаниясының қауіпсіздік зерттеушісі Одед Вануну компанияның бұл шабуылға Тайвандық әнші Джей Чоу құрбан болғаннан кейін қызығушылық танытқанын айтты. Chou's BoredApe №3738 NFT ақпан айының басында келеңсіз транзакция арқылы жойылды.
«Біз бұл NFT ұрланғанын көргенде, бұл бізді әрі қарай тергеуге ынталандырды», - деді Вануну. Ол сондай-ақ мұндай осалдықтың көптеген басқа платформаларда болуы мүмкін екенін қосты. SVG файлдарын жүктеп салу опциясын алып тастаған Rarible осалдықты тез түзетеді. Ол зиянды NFT шабуыл опциясын тоқтатты, деп қосты Вануну.
Ванунуның айтуынша, платформадағы кез келген қолданушы қауіпсіздік ақауын тудыруы мүмкін. Алайда ол қанша шығын болуы мүмкін екенін есептемеді. Артур Чонның әмиянына жасалған осындай шабуыл 1.86 миллион доллардан астам шығынға әкелді. Демек, пайдаланушылар NFT платформаларындағы сұрауларды мақұлдаған кезде әрқашан мұқият болуы керек. Сондай-ақ олар мүмкіндігінше Etherscan сұрау қадағалау құралын пайдалануы керек.
Активтеріңізді қорғау қажеттілігі
Айта кету керек, бұл мәселе тек Rarible-ге ғана қатысты емес, өйткені Check Point өткен жылы OpenSea-да осындай кемшілікті анықтаған болатын. NFT транзакция стандартының мәселесі актив иелеріне олардың түпнұсқалығын анықтауды қиындатады.
Сондықтан, оның нені қамтитынын анықтау үшін сізден қол қою сұралған кез келген нәрсені мұқият тексеру керек. Сондай-ақ, оның нені қамтитынын білмесеңіз, кез келген нәрсеге қол қоюдан аулақ болыңыз. Пайдаланушыларға алдыңғы таңбалауыш мақұлдауларын көру және осы таңбалауыш мақұлдау тексерушісі арқылы алаяқтық болып көрінетіндерін жою ұсынылады.
Бұл шабуылдардың сипатына байланысты олардың аяқталуы ұзағырақ уақыт алуы және активтерді тасымалдауға әсер етуі мүмкін. Блокчейн технологиясы дамып келе жатқандықтан, инвесторлар өз активтерін қорғау кезінде абай болу керек.
Ашық теңіз қиын жағдайда
Екі талапкердің пікірінше, OpenSea хакерлерге жеңілдетілмеген таңбалауыштарды (NFTs) ұрлауға мүмкіндік беретін қауіпсіздік осалдықтарын шеше алмады. Бұл мәселелердің шешілмеуі жүздеген мың доллар шығын әкелді.
Басқа пайдаланушы OpenSea өз пайдаланушыларына NFT-терін қорғау міндетін жүктейді деп шағымданды. Бұл NFT сахнасында алаяқтық пен алаяқтық жалғасуда.
Екі талапкердің OpenSea-ға қарсы шағымдары NFT-ке қатысты шағымдарды өңдеуге қатысты прецедент орнатуы мүмкін. Орталықтандырылған орган болмаған жағдайда сот жүйесі бұл істерді қарауда тиімді болады.
Дереккөз: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/