Sikkerhedsforskere opdagede en sårbarhed på Rarible NFT-markedet, som gør det muligt for brugerne at oprette, køb og sælg digitale NFT-kunstværker.
Virksomheden har en omsætning på $273 millioner i 2021, og mere end 2.1 million brugere. Dette gør det til en af de største NFT-markedspladser i verden lige nu, giver NFT-skabere over 400,000 NFT er præget.
Desværre, Check Point opdagede en designfejl på markedspladsen, som kunne give trusselsaktører mulighed for at overtage Rarible brugernes cryptocurrency tegnebøger. Dette kunne opnås ved at narre brugere til at klikke på en ondsindet NFT, fører til fuld kontoovertagelse, inklusive dets midler.
Forskerne advarede straks markedspladsen om den potentielle risiko, og samarbejdede med dem om at installere en rettelse, ifølge Check Points rapport om problemet.
Mere om Rarible's Design Flaw
Non-Fungible Token har en standard (EIP-721), giver en grundlæggende funktionalitet til at spore og overføre NFT'er. Selve standarden har en funktion kaldet setApprovalForAll, angive, hvem der er autoriseret til at kontrollere alle brugerens tokens/NFT'er. Funktionen er primært skabt til tredjeparter, såsom Rarible/OpenSea til at styre NFT/tokens på vegne af brugerne.
Det viser sig, at "denne funktion er meget farlig af designet,”da det kunne give enhver mulighed for at kontrollere brugerne’ NFT'er, hvis de bliver narret til at skrive under på.
“Det er ikke altid klart for brugerne, præcis hvilke tilladelser de giver ved at underskrive en transaktion. Det meste af tiden, offeret antager, at disse er almindelige transaktioner, når de faktisk er, de gav kontrol over deres egne NFT'er,”Check Point forklaret.
Det er bemærkelsesværdigt, at cyberkriminelle bruger denne type transaktioner i phishing-kampagner. Men, inden for NFT-markedspladser, dette kunne være endnu farligere.
relaterede Story: OpenSea Phishing-angreb resulterer i tab af $3 Millioner i NFT'er
Check Point "kiggede på Rarible NFT-markedspladsen, som giver enhver mulighed for at skabe og sælge kunst. Kunst kan være alt, der ender med følgende udvidelser: PNG, GIF, SVG, MP4, WebM, MP3. Max størrelse: 100 MB." Forskerne fortsatte med at skabe ondsindet kunst – en simpel SVG-fil, uploadet med en simpel nyttelast. Du kan læse mere om det i den oprindelige rapport.
Kort fortalt, NFT-brugere bør være ekstra forsigtige med, at der er forskellige tegnebogsanmodninger. Nogle af disse anmodninger er nødvendige bare for at forbinde tegnebogen, men andre kan give fuld adgang til deres NFT'er og tokens, Check Point konkluderede.
Mere om NFT'er
Ikke-fungible tokens kan beskrives som kryptografiske aktiver på en blockchain, som har unikke identifikationskoder og metadata, der adskiller dem fra hinanden. Det kan lyde som en cryptocurrency, men forskellen er, at NFT'er ikke kan handles eller udveksles til ækvivalens. I den betydning, cryptocurrencies, såsom Bitcoin, er ombyttelige, eller identiske med hinanden, hvilket betyder, at de kan bruges til kommercielle transaktioner.
NFT'er kan skabes ud fra enhver form for kunst, fotografering, musik, eller videofiler. Du kan oprette en af næsten alt unikt, der har værdi og senere kan gemmes digitalt. NFT'er kan opfattes som et samlerobjekt, såsom et maleri eller en auktionsgenstand. Men, frem for at købe en fysisk vare, du ville betale for filen og beviset på, at du ejer den originale kopi.
Du kan læse mere om de risici, som NFT'er skjuler i den følgende artikel: Hvor sikre er dine digitale aktiver?