A Check Point, multinacional americano-israelense que fornece produtos de hardware e software para segurança de TI, revelou identificar uma falha de segurança no popular mercado NFT Rarible, que possui mais de dois milhões de usuários ativos mensais.
Falha de segurança em Rarible
Em um artigo do no blog, o CPR afirmou que a falha, se explorada, permitiria que um agente malicioso desviasse NFTs e carteiras de criptomoedas de um usuário em uma única transação.
Rarible é um dos mercados mais estabelecidos no setor de NFTF. Ele relatou mais de US$ 273 milhões em volume de negócios em 2021. Portanto, o CPR mencionou que os usuários da plataforma são “menos suspeitos e familiarizados com o envio de transações”. Pesquisadores da empresa alertaram a Rarible sobre a descoberta em 5 de abril, após o que a plataforma NFT reconheceu a falha e a corrigiu imediatamente.
Descrevendo o método de ataque, CPR observou:
“A vítima recebe um link para o NFT malicioso ou navega no mercado e clica nele. O NFT malicioso executa o código JavaScript e tenta enviar uma solicitação setApprovalForAll para a vítima. A vítima envia a solicitação e concede acesso total a este NFT/Crypto Token ao invasor.”
O CPR ficou intrigado com esses tipos de casos depois que um popular cantor taiwanês Jay Chou foi vítima de um ataque cibernético semelhante. Alegadamente, os invasores roubaram o NFT de Chou e depois o venderam por US$ 500 mil.
Curiosamente, a empresa também detectou vulnerabilidades críticas de segurança no OpenSea em outubro passado, o que poderia ter permitido que invasores “sequestrem contas de usuários e roubem carteiras inteiras de criptomoedas criando NFTs maliciosos”.
Também pediu aos usuários que tenham cautela ao revisar o que está sendo solicitado. Se a solicitação parecer anormal ou suspeita, eles devem rejeitá-la e inspecioná-la antes de fornecer qualquer tipo de autorização.
Ataques desenfreados em mercados NFT
O desenvolvimento ocorre um pouco mais de um mês após o mercado NFT baseado em Arbitrum – TreasureDAO – testemunhado centenas de NFTs sendo roubados em uma exploração em uma série de transações. As entidades maliciosas exploraram uma vulnerabilidade de segurança no protocolo que lhes permitiu cunhar tokens não fungíveis gratuitamente.
O front-end do OpenSea também foi explorado no início do ano, visando os titulares do Bored Ape Yacht Club (BAYC). Conforme relatado anteriormente, o agressor gerenciados para roubar cerca de US$ 750 mil em ETH.
Binance Grátis $ 100 (Exclusivo): Use este link para se registrar e receber $ 100 grátis e 10% de desconto nas taxas do Binance Futures no primeiro mês (condições).
Oferta especial PrimeXBT: Use este link para se registrar e inserir o código POTATO50 para receber até $ 7,000 em seus depósitos.
Fonte: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/