Gefahr für Ihre NFTs – Rarible ist eine Kauf- und Verkaufsplattform NFT. Es zieht jeden Monat mehr als tausend Benutzer an und verzeichnet im Jahr 2021 ein Handelsvolumen von 270 Millionen US-Dollar. Dieser Erfolg hätte jedoch nach einer schwerwiegenden Schwachstelle auf der Plattform schief gehen können.
Kritische Schwäche auf Nader
Letzte Woche, Cyber-Sicherheitsunternehmen Kontrollpunkt Ein Bericht wurde von herausgegeben Auf der Rarible-Plattform wurde eine Sicherheitslücke entdeckt.
Alles begann nach dem Angriff auf den taiwanesischen Sänger Jay Cho. Tatsächlich wurde BoredApe #3738 im Rahmen einer betrügerischen Transaktion gestohlen.
Diese Episode veranlasste Check Point, Nachforschungen anzustellen. Ausnahmsweise kann NFT-Diebstahl durchgeführt werden, denn Jay Chou hat das unterschrieben Eine Transaktion, die den Zugriff auf ihre NFTs ermöglicht.
In der Praxis unterzeichnete diese Person die Auftragsausführungstransaktion setApprovalForAll. Auf diese Weise können Sie Berechtigungen für den Zugriff auf Token oder NFTs festlegen. Es wird normalerweise ausgiebig von Plattformen wie Rarible verwendet, um Token-Verkäufe durchzuführen.
Mehreren Angreifern gelang es jedoch, eine Datei zu signieren setApprovalForAll zu ihren Opfern. Dies ermöglicht ihnen später, ihre eigenen NFTs zu steuern. Angreifer verwenden normalerweise Phishing-Techniken, um ihre Opfer zu täuschen. Das ist großartig Dies war kürzlich auf OpenSea der Fall. In der Rarible-Umgebung war der Angriff komplexer.
>> Angst, Ihre Brieftasche zu hacken? Priorisieren Sie Sicherheit und Registrierung bei Swissborg! (Affiliate-Link) <
Wenn NFT den Angriff anführt
Während die Untersuchung im Gange war, versuchten die Teams von Check Point mehrere Manipulationen, bevor sie eine kritische Schwachstelle in Rarible entdeckten.
Daher ermöglicht Rarible seinen Benutzern, verschiedene Arten von Dateien mit PNG-, GIF-, SVG-, MP4-, WEBM- oder MP3-Erweiterungen hochzuladen.
Check Point erkannte jedoch, dass dies der Fall war Es ist möglich, JavaScript-Code in SVG-Bilder einzufügen. Sobald das Bild auf Rarible veröffentlicht wird, muss der darin eingebettete Schadcode auf seine Opfer warten.
Wenn Sie auf ein Bild klicken und es in einem anderen Tab öffnen oder auf den IPFS-Link in der Dropdown-Liste klicken, wird der JavaScript-Code ausgeführt. »
Kontrollpunkt
In der Praxis ruft der Code die vom Benutzer gepflegte Liste der NFTs ab. Als nächstes wird es diese NFTs durchlaufen und Transaktionstyp senden setApprovalForAll Für Kombinationen, die der Angreifer für interessant hält.
Der Nutzer wird seinerseits über die anstehende Transaktion informiert. Wenn der Benutzer das Pech hat, diese Transaktion mechanisch zu signieren, besiegelt dies leider das Schicksal der NFT und ermöglicht dem Angreifer, die Kontrolle darüber zu übernehmen.
Seltenes einziges Opfer?
Offenbar haben die Check Point-Teams ihre Erkenntnisse schnell mit denen von Rarible geteilt. Es folgte die Veröffentlichung eines Patches zur Behebung der Schwachstelle.
Obwohl es keine Schätzung gibt, wie viel die Schwachstelle in Bezug auf Verluste einnehmen könnte, bestätigt Check Point dies Es könnte jeden seltenen Benutzer betroffen haben.
Darüber hinaus schließt Check Point die Möglichkeit einer solchen Schwachstelle nicht aus Gefunden auf anderen NFT-Verkaufsplattformen.
Angesichts dieser Bedrohung nennt Check Point einige Best Practices zum Schutz vor dieser Art von Angriff:
- Untersuchen Sie sorgfältig jede Signaturanfrage aus Ihrem Wallet;
- Im Zweifelsfall lehnen Sie den Antrag ab, um sich die Zeit zu nehmen, ihn genauer zu prüfen;
- Widerrufen Sie die Genehmigungen Ihrer Brieftasche häufig über die Etherscan-Schnittstelle.
Früher im Jahr, a Die erste Schwachstelle wurde auf OpenSea entdeckt. Dies führte zum Verlust von mehreren hundert NFTs, was insgesamt über 300 ETH ausmachte.
Seien Sie auf Rarible wie auf anderen DeFi-Plattformen vorsichtig und implementieren Sie gute Sicherheitspraktiken. Wenn Ihnen das Angst macht, wählen Sie Börsen, die sich bewährt haben. Registrieren Sie sich bei Swissborg Und profitieren Sie von einem außergewöhnlichen Bonus von bis zu 200 Euro in Kryptowährungen (Affiliate-Link, Mindesteinzahlung von 50 Euro)!