Siber güvenlik araştırmacıları, Rarible non-funible token (NFT) pazarında, başarılı bir şekilde kullanılırsa, kripto para varlıklarının ele geçirilmesine ve çalınmasına neden olabilecek, düzeltilmiş bir güvenlik açığını açıkladılar.
Check Point araştırmacıları Roman Zaikin, Dikla Barda ve Oded Vanunu, “Kurbanları kötü niyetli bir NFT’ye tıklamaları için cezbederek, bir saldırgan kurbanın kripto cüzdanının tam kontrolünü alarak para çalabilir.” dedim The Hacker News ile paylaşılan bir raporda.
Kullanıcıların fotoğraflar, oyunlar ve memler gibi dijital NFT sanatı oluşturmalarını, satın almalarını ve satmalarını sağlayan bir NFT pazarı olan Rarible, 2,1 milyondan fazla aktif kullanıcıya sahiptir.
Check Point ürün güvenlik açıkları araştırması başkanı Vanunu, The Hacker News ile paylaşılan bir açıklamada, “Web2 ve Web3 altyapısı arasında güvenlik açısından hala büyük bir boşluk var.” Dedi.
“Herhangi bir küçük güvenlik açığı, siber suçluların perde arkasında kripto cüzdanlarını ele geçirmesine izin verebilir. Hala Web3 protokollerini birleştiren pazar yerlerinin güvenlik açısından eksik olduğu bir durumdayız. Bir kripto hacklemesinin sonuçları aşırı olabilir.”
Saldırı modus operandi, kötü niyetli bir aktörün potansiyel kurbanlara sahte bir NFT’ye (örneğin bir görüntü) bir bağlantı göndermesine bağlıdır ve bu bağlantı yeni bir sekmede açıldığında, saldırganın NFT’leri üzerinde tam kontrol elde etmesine olanak tanıyarak rastgele JavaScript kodu yürütür. cüzdana bir setApprovalForAll isteği göndererek.
bu setApprovalForAll API’si bir pazar yerinin (bu durumda, Rarible) uygulanan akıllı sözleşmeye dayalı olarak satılan ürünleri satıcının adresinden alıcının adresine transfer etmesine izin verir.
Araştırmacılar, “Bu işlev, tasarımı gereği çok tehlikelidir, çünkü bu, kandırılırsanız, NFT’lerinizi herhangi birinin kontrol etmesine izin verebilir” dedi.
“Kullanıcılara bir işlemi imzalayarak tam olarak hangi izinleri verdikleri her zaman net değildir. Çoğu zaman, kurban bunların normal işlemler olduğunu varsayar, ancak aslında kendi NFT’leri üzerinde kontrol veriyorlardı.”
Talebi yerine getirirken, dolandırıcılık planı, saldırganın kurbanın hesabındaki tüm NFT’leri transfer etmesine etkin bir şekilde izin verir ve bu, daha sonra saldırgan tarafından pazarda daha yüksek bir fiyata satılabilir.
Güvenlik önlemleri olarak, kullanıcıların herhangi bir yetkilendirme sağlamadan önce işlem taleplerini dikkatlice incelemeleri önerilir. Önceki belirteç onayları, Etherscan’s adresini ziyaret ederek gözden geçirilebilir ve iptal edilebilir. Jeton Onay Denetleyicisi alet.
Araştırmacılar, “NFT kullanıcıları çeşitli cüzdan isteklerinin olduğunun farkında olmalıdır – bazıları sadece cüzdanı bağlamak için kullanılır, ancak diğerleri NFT’lerine ve Jetonlarına tam erişim sağlayabilir” dedi.