Check Pointek, IT segurtasunerako hardware eta software produktuak eskaintzen dituen Amerikako eta Israelgo multinazionalak, Rarible NFT merkatu ezagunean segurtasun akats bat identifikatzen duela agerian utzi du, hilero bi milioi erabiltzaile aktibo baino gehiago dituena.
Segurtasun akatsa Rarible-n
Batean blog post, CPR-k adierazi zuen akatsak, ustiatuz gero, aktore gaizto bati erabiltzailearen NFTak eta kriptografia-moneta-zorroak transakzio bakarrean ateratzea ahalbidetuko zuela.
Rarible NFTF sektoreko merkatu finkatuenetako bat da. 273 milioi dolar baino gehiagoko merkataritza-bolumenaren berri eman zuen 2021ean. Horregatik, CPR-k aipatu zuen plataformako erabiltzaileek "gutxiago susmagarriak eta ezagutzen dituztela transakzioak bidaltzen". Enpresako ikertzaileek Rarible-ri aurkikuntzaz ohartarazi zioten apirilaren 5ean, eta ondoren NFT plataformak akatsa aitortu eta berehala konpondu zuen.
Eraso metodoa azalduz, CPR-k honako hau adierazi zuen:
"Biktimak NFT gaiztorako esteka bat jasotzen du edo merkatuan arakatzen du eta bertan klik egiten du. NFT gaiztoak JavaScript kodea exekutatzen du eta biktimari setApprovalForAll eskaera bat bidaltzen saiatzen da. Biktimak eskaera aurkezten dio eta NFT/Crypto Token honetarako sarbide osoa ematen dio erasotzaileari.
CPR kasu mota hauekin interesatu zen lehen aldiz, Jay Chou Taiwaneko abeslari ezagun bat antzeko ziber-eraso baten biktima izan ostean. Jakinarazi dutenez, erasotzaileek Chou-ren NFT lapurtu zuten eta gero 500 dolarretan saldu zuten.
Interesgarria da enpresa ere detektatu OpenSea-n pasa den urrian segurtasun ahultasun kritikoak, erasotzaileek "erabiltzaile kontuak bahitu eta kriptomoneta-zorro osoak lapurtzea NFT gaiztoak landuz".
Erabiltzaileei ere eskatu die kontuz ibiltzeko eskatutakoa aztertzen duten bitartean. Eskaera ezohikoa edo susmagarria iruditzen bazaizu, baztertu eta gehiago aztertu beharko dute edozein baimen-mota eman aurretik.
NFT Marketplace-en eraso handiak
Garapena hilabete pasatxora dator Arbitrum-en oinarritutako NFT merkatura - TreasureDAO - lekuko ehunka NFT lapurtzen ari diren ustiapen batean hainbat transakziotan. Entitate gaiztoek segurtasun ahultasun bat ustiatu zuten protokoloan, token ez-fungigarriak doan egiteko aukera ematen ziena.
OpenSea-ren frontend-a ere ustiatu zen urte hasieran, Bored Ape Yacht Club (BAYC) titularrei zuzenduta. Lehen esan bezala, egilea kudeatzen ETHren 750K $ inguru lapurtzeko.
Binance Doako $ 100 (esklusiboa): Erabili esteka hau erregistratu eta 100 $ doan eta % 10eko deskontua jasotzeko Binance Futures-en lehen hilabetean (termino).
PrimeXBT eskaintza berezia: Erabili esteka hau erregistratzeko eta POTATO50 kodea sartu zure gordailuak 7,000 $ gehienez jasotzeko.
Iturria: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/