Cybersecurity-onderzoekers hebben een nu opgeloste beveiligingsfout onthuld in de Rarible non-fungible token (NFT) -markt die, indien succesvol misbruikt, had kunnen leiden tot accountovername en diefstal van cryptocurrency-activa.
“Door slachtoffers te verleiden op een kwaadaardige NFT te klikken, kan een aanvaller de volledige controle over de crypto-portemonnee van het slachtoffer krijgen om geld te stelen”, aldus Check Point-onderzoekers Roman Zaikin, Dikla Barda en Oded Vanunu. zei in een rapport gedeeld met The Hacker News.
Rarible, een NFT-marktplaats waarmee gebruikers digitale NFT-kunst zoals foto’s, games en memes kunnen maken, kopen en verkopen, heeft meer dan 2,1 miljoen actieve gebruikers.
“Er is nog steeds een enorme kloof tussen, in termen van veiligheid, tussen Web2- en Web3-infrastructuur”, zei Vanunu, hoofd van productkwetsbaarhedenonderzoek bij Check Point, in een verklaring die werd gedeeld met The Hacker News.
“Elke kleine kwetsbaarheid kan cybercriminelen mogelijk in staat stellen achter de schermen cryptowallets te kapen. We bevinden ons nog steeds in een staat waarin marktplaatsen die Web3-protocollen combineren, ontbreken vanuit een veiligheidsperspectief. De implicaties na een crypto-hack kunnen extreem zijn.”
De aanvalsmodus hangt af van een kwaadwillende actor die een link naar een frauduleuze NFT (bijv. een afbeelding) verzendt naar potentiële slachtoffers die, wanneer geopend in een nieuw tabblad, willekeurige JavaScript-code uitvoert, waardoor de aanvaller mogelijk volledige controle over hun NFT’s krijgt door een setApprovalForAll-verzoek naar de portemonnee te sturen.
De setApprovalForAll API stelt een marktplaats (in dit geval Rarible) in staat om verkochte artikelen over te dragen van het adres van de verkoper naar het adres van de koper op basis van het geïmplementeerde slimme contract.
“Deze functie is van nature erg gevaarlijk, omdat hierdoor iedereen je NFT’s kan controleren als je wordt misleid om deze te ondertekenen”, merkten de onderzoekers op.
“Het is voor gebruikers niet altijd duidelijk welke toestemmingen ze precies geven door een transactie te ondertekenen. Meestal gaat het slachtoffer ervan uit dat dit reguliere transacties zijn, terwijl ze in feite controle gaven over hun eigen NFT’s.”
Door het verzoek in te willigen, stelt het frauduleuze schema de tegenstander in staat om alle NFT’s van de rekening van het slachtoffer over te dragen, die vervolgens door de aanvaller op de markt voor een hogere prijs kunnen worden verkocht.
Als voorzorgsmaatregel wordt aanbevolen dat gebruikers transactieverzoeken zorgvuldig onderzoeken voordat ze enige vorm van autorisatie geven. Eerdere tokengoedkeuringen kunnen worden beoordeeld en ingetrokken door naar Etherscan’s . te gaan Token-goedkeuringscontrole hulpmiddel.
“NFT-gebruikers moeten zich ervan bewust zijn dat er verschillende portemonnee-verzoeken zijn – sommige worden alleen gebruikt om de portemonnee te verbinden, maar anderen kunnen volledige toegang bieden tot hun NFT’s en tokens”, aldus de onderzoekers.
