研究人员在 Rarible 中发现安全漏洞：用户可能丢失了所有 NFT

网络安全软件公司 Check Point 的研究机构说 它发现了 Rarible NFT 市场中的一个漏洞，其大约 200 万月活跃用户中的许多人可能会在一次交易中丢失他们的 NFT。

Check Point 是一家跨国 IT 安全公司，于 1993 年在以色列拉马特甘成立，也声称拥有斑 恶意空投相关问题在 OpenSea 上 回到 2021 年 10 月。

根据与 Cointelegraph 分享的文件，Check Point Research（CPR）最近发现，恶意行为者可以向用户发送一个可疑的链接，指向一个 NFT，该链接在点击“试图向受害者发送 setApprovalForAll 请求”后执行 JavaScript 代码。

如果单击该链接，则用户授予完全访问他们的钱包 在稀有。 CPR 表示，它在 4 月 5 日立即通知了 Rarible，平台迅速确认并修复了安全漏洞：

“如果被利用，该漏洞将使威胁行为者能够在单笔交易中窃取用户的 NFT 和加密货币钱包。一次成功的攻击将来自 Rarible 市场本身的恶意 NFT，用户不太怀疑并且熟悉提交交易。”

NFT盗窃

Check Point Software 产品漏洞研究负责人 Oded Vanunu 在接受 Cointelegraph 采访时表示，在台湾歌手周杰伦成为类似攻击的受害者后，他的团队开始对此类骗局产生兴趣。本月初，Chou 的 BoredApe #3738 NFT 通过恶意交易被盗用。

“一旦我们看到这个 NFT 被盗，它就给了我们进一步调查的动力。”瓦努努说，在许多其他平台上也可能存在这样的漏洞。

“Rarible 很快就承认了这个安全漏洞，并通过删除 SVG 文件上传选项来修复它。这终止了恶意 NFT 攻击选项，”瓦努努证实。

有关的：Trezor 调查用户引用网络钓鱼攻击的潜在数据泄露

Vanunu 拒绝估计安全漏洞可能导致的潜在价值损失，因为它可能“在平台上的任何用户身上触发”。值得注意的是，上个月对 DeFiance Capital 创始人 Arthur0x 的一个钱包的类似攻击导致大约 600 Ether（186 万美元）的损失。

CPR 敦促用户在任何时候批准 NFT 平台上的任何请求并验证所有请求时都要勤奋通过 Etherscan 的 在不确定的时候请求跟踪器。

Cointelegraph 已联系 Rarible 就此事发表评论，如果该公司做出回应，将更新故事。