Des chercheurs en sécurité ont détecté une vulnérabilité sur le marché Rarible NFT, qui permet aux utilisateurs de créer, acheter et vendre des œuvres d'art numériques NFT.
La société a un volume d'affaires de $273 millions en 2021, et plus de 2.1 millions d'utilisateurs. Cela en fait l'un des plus grands marchés NFT au monde à l'heure actuelle, offrant aux créateurs NFT plus 400,000 NFT est frappé.
Malheureusement, Check Point a découvert un défaut de conception sur le marché qui pourrait permettre aux acteurs de la menace de prendre le contrôle de Rarible portefeuilles de crypto-monnaie des utilisateurs. Cela pourrait être réalisé en incitant les utilisateurs à cliquer sur un NFT malveillant, conduisant à une prise de contrôle complète du compte, y compris ses fonds.
Les chercheurs ont immédiatement alerté le marché du risque potentiel, et collaboré avec eux pour installer un correctif, selon le rapport de Check Point sur le problème.
En savoir plus sur le défaut de conception de Rarible
Le jeton non fongible a une norme (EIP-721), fournissant une fonctionnalité de base pour suivre et transférer les NFT. La norme elle-même a une fonction appelée setApprovalForAll, désignant qui est autorisé à contrôler tous les jetons/NFT de l'utilisateur. La fonctionnalité est principalement créée pour des tiers, tels que Rarible/OpenSea pour contrôler les NFT/tokens au nom des utilisateurs.
Il s'avère que "cette fonction est très dangereuse par conception,”car cela pourrait permettre à n'importe qui de contrôler les utilisateurs’ NFT, s'ils se font piéger pour le signer.
"Les utilisateurs ne savent pas toujours exactement quelles autorisations ils accordent en signant une transaction. La plupart du temps, la victime suppose qu'il s'agit de transactions régulières alors qu'en fait, ils donnaient le contrôle de leurs propres NFT,"Check Point a expliqué.
Il est à noter que les cybercriminels utilisent ce type de transaction dans les campagnes de phishing. Cependant, dans les royaumes des places de marché NFT, cela pourrait être encore plus dangereux.
histoire connexes: OpenSea Phishing Attack entraîne la perte de $3 Millions de NFT
Check Point "a examiné le marché Rarible NFT qui permet à quiconque de créer et de vendre de l'art. L'art peut être tout ce qui se termine par les extensions suivantes: PNG, GIF, SVG, MP4, WEBM, MP3. taille max: 100 Mo. » Les chercheurs ont procédé à la création d'art malveillant – un simple fichier SVG, téléchargé avec une simple charge utile. Vous pouvez en savoir plus à ce sujet dans le rapport initial.
Longue histoire courte, Les utilisateurs de NFT doivent faire très attention aux différentes demandes de portefeuille. Certaines de ces requêtes sont nécessaires uniquement pour connecter le portefeuille, mais d'autres peuvent fournir un accès complet à leurs NFT et Tokens, Check Point terminé.
En savoir plus sur les NFT
Les jetons non fongibles peuvent être décrits comme des actifs cryptographiques sur une blockchain, qui ont des codes d'identification uniques et des métadonnées les distinguant les uns des autres. Cela peut ressembler à un crypto-monnaie, mais la différence est que les NFT ne peuvent pas être négociés ou échangés à l'équivalence. Dans ce sens, cryptocurrencies, comme Bitcoin, sont fongibles, ou identiques entre eux, ce qui signifie qu'ils peuvent être utilisés pour des transactions commerciales.
Les NFT peuvent être créés à partir de n'importe quel type d'art, la photographie, musique, ou des fichiers vidéo. Vous pouvez en créer un à partir de presque tout ce qui a de la valeur et qui peut ensuite être stocké numériquement. Les NFT peuvent être considérés comme des objets de collection, comme un tableau ou un objet d'enchère. Cependant, plutôt que d'acheter un article physique, vous paieriez pour le fichier et la preuve que vous possédez la copie originale.
Vous pouvez en savoir plus sur les risques cachés par les NFT dans l'article suivant: Quel est le degré de sécurité de vos actifs numériques?
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: