Beveiligingsonderzoekers ontdekten een kwetsbaarheid in de Rarible NFT-marktplaats, waarmee gebruikers kunnen creëren, digitale NFT-kunstwerken kopen en verkopen.
Het bedrijf heeft een handelsvolume van $273 miljoen in 2021, en meer dan 2.1 miljoen gebruikers. Dit maakt het momenteel een van de grootste NFT-marktplaatsen ter wereld, NFT-makers voorzien van meer dan 400,000 NFT is geslagen.
Helaas, Check Point ontdekte een ontwerpfout in de markt waardoor bedreigingsactoren Rarible zouden kunnen overnemen cryptocurrency-portefeuilles van gebruikers. Dit kan worden bereikt door gebruikers te misleiden om op een schadelijke NFT . te klikken, leidend tot volledige accountovername, inclusief zijn fondsen.
De onderzoekers hebben de markt onmiddellijk gewaarschuwd voor het potentiële risico, en met hen samengewerkt om een fix te installeren, volgens het rapport van Check Point over de kwestie.
Meer over de ontwerpfout van Rarible
Non-Fungible Token heeft een standaard (EIP-721), een basisfunctionaliteit bieden om NFT's te volgen en over te dragen. De standaard zelf heeft een functie genaamd setApprovalForAll, aanwijzen wie geautoriseerd is om alle tokens/NFT's van de gebruiker te beheren. De functie is voornamelijk gemaakt voor derden, zoals Rarible/OpenSea om de NFT/tokens namens de gebruikers te beheren.
Het blijkt dat "deze functie van nature erg gevaarlijk is","omdat het iedereen in staat zou kunnen stellen gebruikers te controleren"’ NFT's, als ze misleid worden om het te ondertekenen.
“Het is voor gebruikers niet altijd duidelijk welke rechten ze precies geven door een transactie te ondertekenen. Meestal, het slachtoffer gaat ervan uit dat dit reguliere transacties zijn, terwijl het in feite is, ze gaven controle over hun eigen NFT's,”Check Point uitgelegd.
Het is opmerkelijk dat cybercriminelen dit soort transacties gebruiken in phishing-campagnes. Echter, op het gebied van NFT-marktplaatsen, dit kan nog gevaarlijker zijn.
Verwante Story: OpenSea phishing-aanval resulteert in verlies van $3 Miljoen in NFT's
Check Point "keek naar de Rarible NFT-marktplaats waar iedereen kunst kan maken en verkopen". Kunst kan alles zijn dat eindigt met de volgende extensies: PNG, GIF, SVG, MP4, WEBM, MP3. Maximale grootte: 100 MB.” De onderzoekers gingen verder met het maken van kwaadaardige kunst – een eenvoudig SVG-bestand, geüpload met een eenvoudige payload. Je leest er meer over in het oorspronkelijke rapport.
Om een lang verhaal kort te maken, NFT-gebruikers moeten extra voorzichtig zijn met het feit dat er verschillende portemonnee-verzoeken zijn. Sommige van deze verzoeken zijn alleen nodig om de portemonnee te koppelen, maar anderen kunnen volledige toegang bieden tot hun NFT's en tokens, Check Point afgerond.
Meer over NFT's
Niet-fungeerbare tokens kunnen worden omschreven als cryptografische activa op een blockchain, die unieke identificatiecodes en metadata hebben die ze van elkaar onderscheiden. Het klinkt misschien als een cryptogeld, maar het verschil is dat NFT's niet tegen gelijkwaardigheid kunnen worden verhandeld of uitgewisseld. In die zin, cryptocurrencies, zoals Bitcoin, zijn fungibel, of identiek aan elkaar, wat betekent dat ze kunnen worden gebruikt voor commerciële transacties.
NFT's kunnen worden gemaakt van elke vorm van kunst, fotografie, muziek, of videobestanden. Je kunt er een maken van bijna alles wat waardevol is en later digitaal kan worden opgeslagen. NFT's kunnen worden gezien als een verzamelobject, zoals een schilderij of een veilingitem. Echter, in plaats van een fysiek item te kopen, je zou betalen voor het bestand en het bewijs dat je de originele kopie bezit.
U kunt meer lezen over de risico's die NFT's verbergen in het volgende artikel:: Hoe veilig zijn uw digitale activa?