暗号資産

Rarible NFT Marketplaceの脆弱性がチェックポイントによって明らかになる– crypto.news

04/14/2022
ビットコインイーサリアムニュース

サイバーセキュリティソフトウェア会社Check Pointの研究者は、Rarible NFTマーケットプレイスの脆弱性を特定しました。 ハッカーが実行していたら、毎月約XNUMX万人のアクティブユーザーのうち数十万人がNFTを失っていただろう。

チェック・ポイントの責任ある開示

「攻撃が成功した場合は、ユーザーがそれほど疑いを持たず、トランザクションの送信に慣れているRaribleのマーケットプレイス自体内の悪意のあるNFTから行われた可能性があります」とCheck Point Researchは指摘しています。

NFT EIP-721 標準の一部である「setApprovalForAll」関数の問題は、NFT 資産に対する完全な制御を別の当事者に与えることです。 フィッシング攻撃は、被害者の資産を盗むように設計される場合があります。 彼らは、正当なソースからのものであるかのように見える取引リクエストに署名するよう説得することができます。

raribleのセキュリティ問題により、ユーザーは潜在的に悪意のあるコンテンツをチェックせずに最大100MBのメディアファイルをアップロードすることができました。 Check Point の研究者は、悪意のある JavaScript ペイロードを含む SVG イメージを作成することで、この問題を悪用しました。

ターゲットが NFT イメージまたは IPFS リンクをクリックすると、システムはコードを実行します。 したがって、ブラウザでトランザクション リクエストをトリガーします。 ターゲットがトランザクションの詳細を理解していない場合、リクエストを承認する可能性があります。 これにより、攻撃者はコレクション全体にアクセスできるようになります。 次に、攻撃者は「transferFrom」アクションを使用して NFT を盗み、ウォレットに転送します。 この操作は元に戻せないことに注意してください。

画像

プラットフォームのCPRは5月XNUMX日にこの問題についてRaribleに通知した。同社はすぐに問題を認め、修正した。

NFT盗難は脅威です

Check Point Softwareのセキュリティ研究者であるOded Vanunu氏は、台湾の歌手ジェイ・チョウが被害者になったことで同社がこの攻撃に関心を持つようになったと語った。 ChouのBoredApe #3738 NFTは、XNUMX月初めに悪質な取引によってスワイプされました。

「このNFTが盗まれたことが分かると、さらに調査する動機になりました」とバヌヌ氏は語った。 同氏はまた、このような脆弱性は他の多くのプラットフォームでも発生する可能性があると付け加えた。 この脆弱性はRaribleによってすぐに修正され、SVGファイルをアップロードするオプションが削除されました。 これにより、悪意のあるNFT攻撃オプションが廃止されたとバヌヌ氏は付け加えた。

Vanunu 氏によると、プラットフォーム上のユーザーは誰でもセキュリティ上の欠陥を引き起こす可能性があります。 しかし、どれだけの損失があった可能性があるかは見積もっていなかった。 アーサー・チョン氏の財布に対する同様の攻撃により、1.86万ドル以上の損失が発生した。 したがって、ユーザーはNFTプラットフォームでリクエストを承認する際には常に注意を払う必要があります。 また、可能な限り Etherscan のリクエスト トラッカーを使用する必要があります。

資産を保護する必要性

Check Pointは昨年OpenSeaで同様の欠陥を発見したため、この問題はRaribleに固有のものではないことに注意することが重要です。 NFT取引標準の問題は、資産所有者がその真正性を判断することが困難になることです。

したがって、署名を求められたものはすべて注意深く調べて、内容を確認する必要があります。 また、内容がよくわからない場合は、署名を避けてください。 ユーザーは、このトークン承認チェッカーを使用して、以前のトークン承認を確認し、不正と思われるトークン承認を取り消すことをお勧めします。

これらの攻撃の性質上、完了までに時間がかかり、資産の移転に影響を与える可能性があります。 ブロックチェーン技術が進化し続けるにつれて、投資家は資産を保護する際により注意する必要があります。

外海はトラブルに見舞われている

原告XNUMX人によると、OpenSeaはハッカーによる代替不可能トークン(NFT)の盗用を可能にするセキュリティ上の脆弱性に対処できなかったという。 これらの問題に対処できなかったために、数十万ドルの損害が発生しました。

別のユーザーは、OpenSeaがNFTを保護する責任をユーザーに課していると不満を述べた。 それは、NFTシーンが詐欺や詐欺に悩まされ続けている中で起こります。

原告XNUMX名がOpenSeaに対して起こした訴訟は、NFT関連の申し立ての取り扱いに関する前例となる可能性がある。 中央集権的な当局が存在しない場合、裁判所システムはこれらの事件を処理するのに有益です。

出典: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/