АТ қауіпсіздігі үшін аппараттық және бағдарламалық өнімдерді ұсынатын американдық-израильдік көпұлтты Check Point компаниясы ай сайын екі миллионнан астам белсенді пайдаланушылары бар танымал NFT Rarible нарығындағы қауіпсіздік кемшілігін анықтады.
Rarible-дегі қауіпсіздік ақауы
Ішінде блог пост, CPR бұл кемшілік, егер пайдаланылса, зиянды актерге бір транзакцияда пайдаланушының NFT және криптовалюта әмияндарын жұлып алуға мүмкіндік беретінін айтты.
Rarible - NFTF секторындағы ең танымал нарықтардың бірі. Ол 273 жылы сауда көлемі 2021 миллион доллардан астамы туралы хабарлады. Осылайша, CPR платформа пайдаланушылары «аз күдікті және транзакцияларды жіберуге жақсы таныс» екенін айтты. Фирманың зерттеушілері 5 сәуірде Rarible-ге жаңалық туралы ескертті, содан кейін NFT платформасы ақауды мойындап, оны дереу жөндеді.
Шабуыл әдісін сипаттай отырып, CPR атап өтті:
«Жәбірленуші зиянды NFT сілтемесін алады немесе нарықты шолып, оны басады. Зиянды NFT JavaScript кодын орындайды және жәбірленушіге setApprovalForAll сұрауын жіберуге әрекет жасайды. Жәбірленуші сұрауды жібереді және шабуылдаушыға осы NFT/крипто токеніне толық рұқсат береді.
CPR алғаш рет Тайваньдық танымал әнші Джей Чоу осындай кибершабуылдың құрбаны болғаннан кейін мұндай істерді қызықтырды. Хабарланғандай, шабуылдаушылар Чоудың NFT-ін ұрлап, кейін оны 500 мың долларға сатты.
Бір қызығы, фирма да анықталды Өткен қазан айында OpenSea-да қауіпсіздіктің маңызды осалдықтары, бұл шабуылдаушыларға «зиянды NFT-терді жасау арқылы пайдаланушы тіркелгілерін ұрлауға және бүкіл криптовалюталық әмияндарды ұрлауға» мүмкіндік беруі мүмкін.
Ол сондай-ақ пайдаланушыларды сұралған нәрсені қарау кезінде сақ болуға шақырды. Сұрау әдеттен тыс немесе күдікті болып көрінсе, олар оны қабылдамай, рұқсат берудің кез келген түрін бермес бұрын оны қосымша тексеруі керек.
NFT Marketplaces кең таралған шабуылдар
Әзірлеу Arbitrum негізіндегі NFT нарығынан кейін бір айдан астам уақыт өткен соң келеді - TreasureDAO - куә болды транзакциялар сериясындағы эксплойт кезінде жүздеген NFT ұрланған. Зиянды нысандар протоколдағы қауіпсіздік осалдығын пайдаланды, бұл оларға жеңілдетілген токендерді тегін шығаруға мүмкіндік берді.
OpenSea-ның алдыңғы бөлігі де жылдың басында пайдаланылды, ол Bored Ape яхт клубы (BAYC) иелеріне бағытталған. Бұрын хабарланғандай, қылмыскер басқарылатын шамамен $750K ETH ұрлау үшін.
Binance Тегін $100 (ерекше): Бұл сілтемені пайдаланыңыз тіркелу және Binance Futures бірінші айда $100 тегін және 10% жеңілдік комиссияларын алу (терминдер).
PrimeXBT арнайы ұсынысы: Бұл сілтемені пайдаланыңыз тіркелу және депозиттеріңізде $50 7,000 алу үшін POTATOXNUMX кодын енгізіңіз.
Дереккөз: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/