Rarible NFT (fungible token) pazarındaki bir güvenlik açığı, tehdit aktörlerinin dijital varlıkları çalmak ve bunları doğrudan cüzdanlarına aktarmak için nispeten basit bir numara kullanmalarına izin verdi.
Rarible, telif ücretlerinde %50’ye varan oranlarda, 2,1 milyon kayıtlı kullanıcıya, yıllık yüz milyonlarca ABD doları değerinde işlem hacmine ve üç blok zincirine destek sunan topluluk merkezli bir NFT pazarıdır.
Piyasadaki tehlikeli kusur, analistler tarafından keşfedildi. Kontrol Noktasıbir düzeltme uygulamak için Rarible ile çalıştı.
Ancak, halihazırda mağdur olan kullanıcıların, geçmişteki sahte işlem talepleri aracılığıyla verdikleri token onaylarını kontrol etmeleri ve iptal etmeleri gerekir.
NFT’lerin içindeki kodu gizleme
Sorun, NFT varlıklarının tam kontrolünü başka birine veren NFT EIP-721 standardının bir parçası olan “setApprovalForAll” işlevindeki asıl riskten kaynaklanmaktadır.
(Kontrol Noktası)
Zararsız görünen bir işlem talebini taklit ederek ve varlık sahibinden bunu imzalamasını isteyerek, kimlik avı aktörleri kurbana herhangi bir uyarıda bulunmadan hedeflerinin NFT’lerini kapabilir veya hatta cüzdan kontrolünü üstlenebilir.
Rarible’daki güvenlik açığı, platformun, kullanıcıların potansiyel olarak kötü amaçlı içerik için incelemeden 100 MB’a kadar medya dosyalarını yüklemelerine izin vermesidir.
Buna dayanarak, Check Point’in araştırmacıları, kötü niyetli bir JavaScript yükünü gizleyen bir SVG görüntüsü oluşturabileceklerini ve satılık bir NFT olarak Rarible’a yükleyebileceklerini düşündüler.
NFT görüntüsüne veya IPFS bağlantısına tıklamak, hedefin tarayıcılarında bir “setApprovalForAll” işlem isteği almasıyla sonuçlanan kod yürütmesini tetikler.
Kurbanın dikkatsiz olduğunu veya işlemin ne hakkında olduğunu tam olarak anlamadığını varsayarsak, saldırganın tüm koleksiyonuna erişmesine izin vererek isteği onaylayabilirler.
Oradan, bilgisayar korsanları “transferFrom” eylemini kullanabilir ve NFT’leri çalabilir ve bunları sahiplikleri altındaki bir cüzdana aktarabilir. Tüm blok zinciri işlemlerinde olduğu gibi, bu eylem geri alınamaz.
Check Point’in raporu, Tayvanlı ünlü Jay Chou’yu hedef alan gerçek bir taciz vakasından bahsediyor. yakın zamanda kayboldu Bir işlem imzası dolandırıcısına 500.000 $ değerinde “Bored Ape” NFT.
Varlıklarınızı nasıl korursunuz
Check Point’in çok önemli bir kusur keşfettiği için, Rarible’ın bu özel kusura sahip tek pazar yeri olmadığının altını çizmek önemlidir. OpenSea’de benzer bir sorun geçen sene.
Esasen sorun, NFT işlem standardında ve varlık sahiplerinin orijinalliklerini ve gerçek kapsamlarını değerlendirmelerini zorlaştıran imza taleplerinin belirsizliğinde yatmaktadır.
Bu nedenle, herhangi bir şey imzalamak için bir talep aldığınızda, neyin dahil olduğunu belirlemek için onu iyice inceleyin. Şüpheniz varsa, işleme izin vermeyin.
Kullanıcıların bunu kullanmaları önerilir belirteç onay denetleyicisi önceki onaylarını gözden geçirmek ve hileli görünenleri iptal etmek.
Bu saldırıların çalışma şekli nedeniyle, erişim onayları ve varlık aktarımı arasında genellikle bir gecikme olur, bu nedenle bazı kurbanlar için hala zaman olabilir.
Blockchain teknolojisi ne kadar öncü olabilse de, kullanıcı varlıklarını koruma yönü hala geride kalıyor, bu nedenle yatırımcıların her şeyde ekstra dikkatli olmaları gerekiyor.