เทคโนโลยี

บริษัทรักษาความปลอดภัยทางไซเบอร์ค้นพบช่องโหว่ที่สำคัญบน NFT Marketplace Rarible

04/15/2022
ข่าว Bitcoin Ethereum

Check Point ซึ่งเป็นบริษัทข้ามชาติสัญชาติอเมริกัน-อิสราเอลที่ให้บริการผลิตภัณฑ์ฮาร์ดแวร์และซอฟต์แวร์สำหรับการรักษาความปลอดภัยด้านไอที ได้เปิดเผยการระบุข้อบกพร่องด้านความปลอดภัยในตลาด NFT ยอดนิยม Rarible ซึ่งมีผู้ใช้งานมากกว่าสองล้านคนต่อเดือน

ข้อบกพร่องด้านความปลอดภัยใน Rarible

ใน โพสต์บล็อก, CPR ระบุว่าข้อบกพร่อง หากนำไปใช้ประโยชน์ จะอนุญาตให้ผู้ประสงค์ร้ายสามารถดูดเอา NFT และกระเป๋าเงินดิจิตอลของผู้ใช้ออกจากธุรกรรมเดียว

Rarible เป็นหนึ่งในตลาดที่เป็นที่ยอมรับมากที่สุดในกลุ่ม NFTF รายงานปริมาณการซื้อขายมากกว่า 273 ล้านดอลลาร์ในปี 2021 ดังนั้น CPR กล่าวว่าผู้ใช้แพลตฟอร์ม “น่าสงสัยน้อยกว่าและคุ้นเคยกับการส่งธุรกรรม” นักวิจัยที่บริษัทแจ้งเตือน Rarible เกี่ยวกับการค้นพบเมื่อวันที่ 5 เมษายน หลังจากที่แพลตฟอร์ม NFT รับทราบข้อบกพร่องและแก้ไขทันที

ภาพ

สรุปวิธีการโจมตี CPR ตั้งข้อสังเกต:

“เหยื่อได้รับลิงก์ไปยัง NFT ที่เป็นอันตรายหรือเรียกดูตลาดและคลิกที่มัน NFT ที่เป็นอันตรายรันโค้ด JavaScript และพยายามส่งคำขอ setApprovalForAll ไปยังเหยื่อ เหยื่อส่งคำขอและให้สิทธิ์การเข้าถึง NFT/Crypto Token นี้แก่ผู้โจมตีอย่างเต็มรูปแบบ”

การทำ CPR เริ่มรู้สึกทึ่งกับกรณีเหล่านี้หลังจากที่ Jay Chou นักร้องชื่อดังชาวไต้หวันตกเป็นเหยื่อการโจมตีทางไซเบอร์ในลักษณะเดียวกัน มีรายงานว่าผู้โจมตีได้ขโมย NFT ของ Chou และต่อมาขายไปในราคา 500 ดอลลาร์

ที่น่าสนใจคือบริษัทก็เช่นกัน ตรวจพบ ช่องโหว่ด้านความปลอดภัยที่สำคัญใน OpenSea เมื่อเดือนตุลาคมที่ผ่านมา ซึ่งอาจทำให้ผู้โจมตีสามารถ "จี้บัญชีผู้ใช้และขโมยกระเป๋าสตางค์ cryptocurrency ทั้งหมดโดยการสร้าง NFT ที่เป็นอันตราย"

นอกจากนี้ยังเรียกร้องให้ผู้ใช้ใช้ความระมัดระวังในขณะที่ตรวจสอบสิ่งที่ได้รับการร้องขอ หากคำขอดูผิดปกติหรือน่าสงสัย พวกเขาควรปฏิเสธและตรวจสอบเพิ่มเติมก่อนที่จะให้สิทธิ์ใดๆ

Rampant Attacks บน NFT Marketplaces

การพัฒนาเกิดขึ้นเพียงเดือนเดียวหลังจากตลาด NFT ที่ใช้ Arbitrum – TreasureDAO – ร่วมเป็นสักขีพยาน NFT หลายร้อยรายการถูกขโมยจากการฉ้อโกงในชุดธุรกรรม เอนทิตีที่เป็นอันตรายใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในโปรโตคอลที่เปิดใช้งานโทเค็นที่ไม่สามารถเปลี่ยนได้โดยไม่เสียค่าใช้จ่าย

ฟรอนต์เอนด์ของ OpenSea ก็ถูกเอารัดเอาเปรียบเมื่อต้นปีเช่นกัน ซึ่งกำหนดเป้าหมายไปยังผู้ถือ Bored Ape Yacht Club (BAYC) ตามที่ได้รายงานไปก่อนหน้านี้ ผู้กระทำความผิด การจัดการ เพื่อขโมย ETH มูลค่าประมาณ 750 เหรียญ

ข้อเสนอพิเศษ (ผู้สนับสนุน)

Binance ฟรี $100 (พิเศษ): ใช้ลิงก์นี้ เพื่อลงทะเบียนและรับฟรี $100 และค่าธรรมเนียม 10% สำหรับ Binance Futures เดือนแรก (เงื่อนไขการใช้บริการ).

ข้อเสนอพิเศษ PrimeXBT: ใช้ลิงก์นี้ เพื่อลงทะเบียนและป้อนรหัส POTATO50 เพื่อรับสูงถึง $7,000 จากเงินฝากของคุณ

ที่มา: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/