آسیب‌پذیری نادر بازار NFT توسط Check Point آشکار می‌شود – crypto.news

محققان شرکت نرم‌افزار امنیت سایبری Check Point یک آسیب‌پذیری را در بازار Rarible NFT شناسایی کرده‌اند. اگر هکر آن را اجرا می کرد، صدها هزار نفر از تقریباً دو میلیون کاربر فعال ماهانه آن NFT خود را از دست می دادند.

افشای مسئولانه چک پوینت

بررسی‌های Check Point خاطرنشان کرد: «یک حمله موفقیت‌آمیز می‌تواند از یک NFT مخرب در خود بازار Rarible باشد، جایی که کاربران کمتر مشکوک هستند و با ارسال تراکنش‌ها آشنا هستند».

مشکل تابع "setApprovalForAll"، بخشی از استاندارد NFT EIP-721، این است که کنترل کامل بر دارایی های NFT را به طرف دیگر می دهد. حملات فیشینگ می تواند برای سرقت دارایی های قربانیان آنها طراحی شود. آنها می توانند آنها را متقاعد کنند که یک درخواست تراکنش را امضا کنند که به نظر می رسد از یک منبع قانونی است.

به دلیل یک مشکل امنیتی در Rarible، کاربران می‌توانند فایل‌های رسانه‌ای تا 100 مگابایت را بدون بررسی محتوای مخرب بالقوه آپلود کنند. محققان Check Point با ایجاد یک تصویر SVG که حاوی یک بار مخرب جاوا اسکریپت بود از این مشکل سوء استفاده کردند.

اگر هدف روی تصویر NFT یا پیوند IPFS کلیک کند، سیستم یک کد را اجرا می کند. بنابراین، یک درخواست تراکنش را در مرورگر خود راه اندازی کنید. اگر هدف، جزئیات تراکنش را متوجه نشود، ممکن است درخواست را تأیید کند. این به مهاجم اجازه می دهد تا به کل مجموعه خود دسترسی داشته باشد. سپس مهاجم از عمل "transferFrom" برای سرقت NFTها و انتقال آنها به کیف پول خود استفاده می کند. توجه داشته باشید که این عمل غیر قابل برگشت است.

پلتفرم CPR در 5 آوریل این مشکل را به Rarible اطلاع داد. این شرکت بلافاصله مشکل را تأیید و برطرف کرد.

سرقت NFT یک تهدید است

Oded Vanunu، محقق امنیتی Check Point Software، گفت که این شرکت پس از قربانی شدن خواننده تایوانی، Jay Chou، به این حمله علاقه مند شد. Chou's BoredApe #3738 NFT از طریق یک تراکنش شرورانه در ابتدای فوریه منتشر شد.

وانونو گفت: «هنگامی که دیدیم این NFT به سرقت رفته است، ما را تشویق کرد که بیشتر تحقیق کنیم. او همچنین اضافه کرد که چنین آسیب‌پذیری می‌تواند در بسیاری از پلتفرم‌های دیگر امکان‌پذیر باشد. این آسیب پذیری به سرعت توسط Rarible برطرف شد و گزینه آپلود فایل های SVG را حذف کرد. Vanunu اضافه کرد که گزینه حمله NFT مخرب را خاتمه داد.

به گفته Vanunu، هر کاربری در این پلتفرم ممکن است یک نقص امنیتی ایجاد کند. با این حال، او برآورد نکرد که چقدر ممکن است از دست داده شود. حمله مشابهی به کیف پول آرتور چئونگ منجر به از دست دادن بیش از 1.86 میلیون دلار شد. از این رو، کاربران باید همیشه هنگام تأیید درخواست‌ها در پلتفرم‌های NFT کوشا باشند. آنها همچنین باید در صورت امکان از ردیاب درخواست Etherscan استفاده کنند.

نیاز به محافظت از دارایی های خود

توجه به این نکته ضروری است که این مشکل منحصر به Rarible نیست، زیرا Check Point سال گذشته نقص مشابهی را در OpenSea کشف کرد. مشکل استاندارد معاملات NFT این است که تعیین اصالت آنها را برای دارندگان دارایی دشوار می کند.

بنابراین، باید هر چیزی را که از شما درخواست می شود امضا کنید، به دقت بررسی کنید تا مشخص شود که شامل چه مواردی می شود. همچنین، اگر مطمئن نیستید که شامل چه چیزی است، از امضا کردن آن خودداری کنید. توصیه می شود که کاربران تأییدیه های قبلی خود را مشاهده کنند و با استفاده از این بررسی کننده تأیید توکن، مواردی را که تقلبی به نظر می رسد لغو کنند.

با توجه به ماهیت این حملات، ممکن است تکمیل آنها بیشتر طول بکشد و می تواند بر انتقال دارایی ها تأثیر بگذارد. از آنجایی که فناوری بلاک چین به تکامل خود ادامه می دهد، سرمایه گذاران باید در حفاظت از دارایی های خود محتاط تر باشند.

دریای باز در مشکل است

به گفته دو شاکی، OpenSea نتوانست آسیب‌پذیری‌های امنیتی را برطرف کند که به هکرها اجازه می‌داد توکن‌های غیرقابل تعویض (NFT) را سرقت کنند. عدم رسیدگی به این مسائل صدها هزار دلار خسارت وارد کرد.

کاربر دیگری شکایت کرد که OpenSea مسئولیت محافظت از NFT های خود را بر عهده کاربران خود می گذارد. این درحالی است که صحنه NFT همچنان با کلاهبرداری و کلاهبرداری مواجه است.

شکایت هایی که دو شاکی علیه OpenSea ارائه کردند می تواند سابقه ای را در مورد رسیدگی به دعاوی مربوط به NFT ایجاد کند. در صورت عدم وجود یک مرجع متمرکز، سیستم قضایی در رسیدگی به این پرونده ها سودمند خواهد بود.