サイバーセキュリティ会社がNFTマーケットプレイスの重大な脆弱性を発見

ITセキュリティ用のハードウェアおよびソフトウェア製品を提供するアメリカとイスラエルの多国籍企業であるCheckPointは、月間XNUMX万人以上のアクティブユーザーを誇る人気のNFTマーケットプレイスRaribleのセキュリティ上の欠陥を特定したことを明らかにしました。

Raribleのセキュリティ上の欠陥

で ブログ投稿、CPRは、この欠陥が悪用された場合、悪意のある攻撃者がXNUMX回のトランザクションでユーザーのNFTと暗号通貨ウォレットを吸い上げることを可能にしたと述べています。

Raribleは、NFTFセクターで最も確立された市場の273つです。 2021年の取引量は5億XNUMX万ドルを超えたと報告されています。したがって、CPRは、プラットフォームユーザーは「疑わしくなく、取引の提出に精通している」と述べています。 同社の研究者はXNUMX月XNUMX日にRaribleに発見を警告し、その後NFTプラットフォームが欠陥を認識してすぐに修正しました。

攻撃方法の概要について、CPRは次のように述べています。

「被害者は悪意のあるNFTへのリンクを受け取るか、マーケットプレイスを閲覧してクリックします。 悪意のあるNFTはJavaScriptコードを実行し、被害者にsetApprovalForAllリクエストを送信しようとします。 被害者はリクエストを送信し、攻撃者にこのNFT/暗号トークンへのフルアクセスを許可します。」

CPRは、人気のある台湾の歌手、ジェイ・チョウが同様のサイバー攻撃の犠牲になった後、この種の事件に最初に興味をそそられました。 伝えられるところによると、攻撃者はChouのNFTを盗み、後でそれを500万ドルで売りました。

興味深いことに、会社も 検出された 昨年XNUMX月のOpenSeaの重大なセキュリティ脆弱性。これにより、攻撃者が「悪意のあるNFTを作成することで、ユーザーアカウントを乗っ取り、暗号通貨ウォレット全体を盗む」可能性があります。

また、要求されている内容を確認する際には注意を払うようユーザーに促しました。 リクエストが異常または疑わしいと思われる場合は、リクエストを拒否し、さらに検査してから、あらゆる種類の承認を提供する必要があります。

NFTマーケットプレイスへの横行攻撃

開発は、ArbitrumベースのNFTマーケットプレイス– TreasureDAO –のXNUMXか月強後に行われます。 目撃 一連のトランザクションのエクスプロイトで何百ものNFTが盗まれています。 悪意のあるエンティティは、プロトコルのセキュリティの脆弱性を悪用して、非代替トークンを無料で作成できるようにしました。

OpenSeaのフロントエンドも今年の初めに利用され、Bored Ape Yacht Club（BAYC）の所有者をターゲットにしました。 以前に報告されたように、実行者 マネージド 約750万ドル相当のETHを盗む。