Check Point zibersegurtasuneko software enpresako ikertzaileek ahultasun bat identifikatu dute Rarible NFT merkatuan. Bere bi milioi erabiltzaile aktibo gutxi gorabehera ehunka milaka NFTak galduko lituzkete hackerrak exekutatu izan balu.
Check Point-en Dibulgazio Arduratsua
"Eraso arrakastatsua Rarible-ren merkatuan, berez, NFT gaizto batetik etorriko litzateke, non erabiltzaileek ez baitute hain susmagarri eta transakzioak bidaltzen ezagutzen duten", adierazi du Check Point Research-ek.
NFT EIP-721 estandarraren parte den "setApprovalForAll" funtzioaren arazoa da NFT aktiboen gaineko kontrol osoa ematen diola beste alderdi bati. Phishing erasoak biktimen ondasunak lapurtzeko diseinatu daitezke. Iturri legitimo batekoa dirudien transakzio-eskaera sinatzeko konbentzitu ditzakete.
Rarible-n segurtasun-arazo bat dela eta, erabiltzaileek 100 MB arteko multimedia-fitxategiak kargatu ditzakete eduki gaiztoa izan daitekeen egiaztatu gabe. Check Pointeko ikertzaileek arazo hau ustiatu zuten JavaScript karga gaizto bat zuen SVG irudi bat sortuz.
Sistemak kode bat exekutatuko du xedeak NFT irudian edo IPFS estekan klik egiten badu. Hori dela eta, abiarazi transakzio eskaera bat beren arakatzailean. Helburuak transakzioaren xehetasunak ulertzen ez baditu, eskaera onar dezakete. Erasotzaileari bere bilduma osoa sartzeko aukera ematen dio. Erasotzaileak "transferFrom" ekintza erabiliko luke NFTak lapurtzeko eta bere zorrora transferitzeko. Kontuan izan ekintza hau itzulezina dela.
CPR plataformak apirilaren 5ean jakinarazi zion arazoaren berri Raribleri. Konpainiak berehala aitortu eta konpondu zuen arazoa.
NFT Lapurreta mehatxu bat da
Oded Vanunu Check Point Software-ko segurtasun ikertzaileak esan zuen konpainiak atentatu honetan interesatu zuela Jay Chou abeslari taiwandar biktima bihurtu ostean. Chou's BoredApe # 3738 NFT transakzio gaizto baten bidez pasatu zen otsailaren hasieran.
"NFT hau lapurtu zutela ikusi genuenean, gehiago ikertzera bultzatu gintuen", esan zuen Vanunuk. Era berean, ahultasun hori beste hainbat plataformatan posible izan daitekeela gaineratu du. Rariblek ahultasuna azkar konpondu zuen, eta horrek SVG fitxategiak kargatzeko aukera kendu zuen. NFT erasorako aukera gaiztoa amaitu zuen, Vanunuk gehitu zuen.
Vanunu-ren arabera, plataformako edozein erabiltzailek segurtasun akats bat eragin zezakeen. Hala ere, ez zuen kalkulatu zenbat galdu zitekeen. Arthur Cheong-en zorroaren antzeko eraso batek 1.86 milioi dolar baino gehiago galtzea eragin zuen. Hori dela eta, erabiltzaileek arduratsu ibili behar dute NFT plataformetan eskaerak onartzerakoan. Ahal den guztietan Etherscan-en eskaera-jarraitzailea ere erabili beharko dute.
Zure ondasunak babesteko beharra
Garrantzitsua da kontutan hartzea arazo hau ez dela Raribleren bakarra, iaz Check Point-ek OpenSea-n antzeko akats bat aurkitu baitzuen. NFT transakzio estandarraren arazoa da aktiboen titularrek beren benetakotasuna zehaztea zaila egiten zaiela.
Hori dela eta, sinatzeko eskatzen zaizun guztia arretaz aztertu beharko zenuke zertan datzan jakiteko. Gainera, saihestu ezer sinatzea zertan datzan ziur ez bazaude. Gomendagarria da erabiltzaileek beren aurreko token-onarpenak ikustea eta iruzurrezkoak diruditenak baliogabetzea token-onarpen-egiaztapen hau erabiliz.
Eraso hauen izaera dela eta, denbora gehiago behar dute burutzeko eta aktiboen transferentzian eragina izan dezakete. Blockchain teknologiak eboluzionatzen jarraitzen duen heinean, inbertitzaileek zuhurragoak izan behar dute beren aktiboak babestean.
Open Sea Arazoetan dago
Bi salatzaileen arabera, OpenSea-k huts egin zuen hackerrei token ez-fungigarriak (NFT) lapurtzeko aukera ematen zien segurtasun ahulguneei aurre egin. Arazo hauei aurre egin ez izanak ehunka mila dolar kalte-ordainak eragin zituen.
Beste erabiltzaile batek kexatu zuen OpenSea-k erabiltzaileei ezartzen diela NFTak babesteko ardura. NFT eszenak iruzurrak eta iruzurrak jasaten jarraitzen duen heinean dator.
Bi salatzaileek OpenSearen aurka jarritako auziek NFTrekin lotutako erreklamazioak kudeatzeko aurrekari bat sor dezakete. Aginte zentralizaturik ezean, sistema judizialak onuragarria izango da kasu hauek kudeatzeko.
Iturria: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/