研究者が Rarible にセキュリティ上の欠陥を発見: ユーザーはすべての NFT を失った可能性がある

サイバー セキュリティ ソフトウェア会社 Check Point の研究部門言った 同社は Rarible NFT マーケットプレイスに脆弱性を発見しました。この脆弱性により、月間約 200 万人のアクティブ ユーザーの多くが 1 回のトランザクションで NFT を失う可能性がありました。

Check Point は、1993 年にイスラエルのラマトガンで設立された多国籍 IT セキュリティ会社であり、斑点のある 悪意のあるエアドロップに関する問題OpenSeaで 2021 年 10 月に戻ります。

Cointelegraph に共有された文書によると、Check Point Research (CPR) は最近、悪意のある攻撃者が、「setApprovalForAll リクエストを被害者に送信しようとする」をクリックした後、JavaScript コードを実行する NFT への疑わしいリンクをユーザーに送信できることを発見しました。

リンクがクリックされた場合、ユーザーは許可しますウォレットへのフルアクセス ラリブルで。 CPR は、4 月 5 日に Rarible に直ちに通知し、プラットフォームはセキュリティ上の欠陥を速やかに認識して修正したと述べています。

「この脆弱性が悪用された場合、攻撃者はユーザーの NFT と暗号通貨ウォレットを 1 回のトランザクションで盗むことができたでしょう。成功した攻撃は、Rarible のマーケットプレイス内の悪意のある NFT から発生した可能性があり、ユーザーは疑わしくなく、トランザクションの送信に慣れていません。」

NFT盗難

コインテレグラフの取材に対し、チェック・ポイント・ソフトウェアの製品脆弱性調査責任者であるオデッド・バヌヌ氏は、台湾の歌手ジェイ・チョウが同様の攻撃の犠牲になった後、彼のチームがこの種の詐欺に関心を持つようになったと語った。 Chou の BoredApe #3738 NFT は、今月初めに悪質な取引によって盗まれました。

「この NFT が盗まれたことを確認したことで、さらに調査する動機が得られました。」このような脆弱性は、他の多くのプラットフォームでも発生する可能性があると Vanunu 氏は述べています。

「Rarible はセキュリティ上の欠陥をすぐに認め、SVG ファイルのアップロード オプションを削除することで修正しました。これにより、悪意のある NFT 攻撃オプションが終了しました」と Vanunu は確認しました。

関連している：ユーザーがフィッシング攻撃を挙げているため、Trezor はデータ侵害の可能性を調査しています

Vanunu は、「プラットフォーム上の任意のユーザーでトリガーされた」可能性があるため、セキュリティ上の欠陥がもたらす可能性のある潜在的な価値の見積もりを拒否しました.特に、先月、DeFiance Capital の創設者である Arthur0x が所有する単一のウォレットに対する同様の攻撃により、約 600 イーサ (186 万ドル) が失われました。

CPR は、ユーザーが NFT プラットフォームで要求を承認し、それらすべてを確認するときはいつでも勤勉であるように促しましたイーサスキャン経由 不確実な時期にトラッカーをリクエストします。

コインテレグラフはこの件についてラリブルにコメントを求めており、同社からの返答があれば記事を更新する予定だ。