Pesquisadores de segurança detectaram uma vulnerabilidade no mercado Rarible NFT, que permite aos usuários criar, compre e venda peças de arte digital NFT.
A empresa tem um volume de negócios de $273 milhões em 2021, e mais que 2.1 milhões de usuários. Isso o torna um dos maiores mercados NFT do mundo no momento, fornecendo aos criadores de NFT mais de 400,000 NFT's cunhadas.
Infelizmente, A Check Point descobriu uma falha de design no mercado que poderia permitir que os agentes de ameaças assumissem o Rarible carteiras de criptomoedas dos usuários. Isso pode ser feito enganando os usuários para clicar em um NFT malicioso, levando à aquisição total da conta, incluindo seus fundos.
Os pesquisadores alertaram o mercado imediatamente sobre o risco potencial, e colaborou com eles para instalar uma correção, de acordo com o relatório da Check Point sobre o problema.
Mais sobre a falha de design de Rarible
O token não fungível tem um padrão (EIP-721), fornecendo uma funcionalidade básica para rastrear e transferir NFTs. O próprio padrão tem uma função chamada setApprovalForAll, designando quem está autorizado a controlar todos os tokens/NFTs do usuário. O recurso é criado principalmente para terceiros, como Rarible/OpenSea para controlar o NFT/tokens em nome dos usuários.
Acontece que “esta função é muito perigosa por design,”pois poderia permitir que qualquer pessoa controlasse os usuários’ NFTs, se eles forem enganados para assiná-lo.
“Nem sempre é claro para os usuários exatamente quais permissões eles estão dando ao assinar uma transação. A maior parte do tempo, a vítima assume que estas são transações regulares quando na verdade, eles estavam dando controle sobre seus próprios NFTs,”Explicou o Check Point.
Vale ressaltar que os cibercriminosos utilizam esse tipo de transação em campanhas de phishing. Contudo, nos reinos dos mercados NFT, isso pode ser ainda mais perigoso.
Story relacionado: Ataque de phishing da OpenSea resulta em perda de $3 Milhões em NFTs
A Check Point “olhou para o mercado Rarible NFT, que permite que qualquer pessoa crie e venda arte. Arte pode ser qualquer coisa que termine com as seguintes extensões: PNG, GIF, SVG, MP4, WEBM, MP3. tamanho máximo: 100 MB.” Os pesquisadores continuaram com a criação de arte maliciosa – um arquivo SVG simples, carregado com uma carga simples. Você pode ler mais sobre isso em o relatório original.
Longa história curta, Os usuários de NFT devem ser extremamente cautelosos, pois existem várias solicitações de carteira. Algumas dessas solicitações são necessárias apenas para conectar a carteira, mas outros podem fornecer acesso total aos seus NFTs e Tokens, Check Point concluído.
Mais sobre NFT
Tokens não fungíveis podem ser descritos como ativos criptográficos em uma blockchain, que possuem códigos de identificação e metadados únicos que os distinguem uns dos outros. Pode soar como um criptomoeda, mas a diferença é que as NFTs não podem ser negociadas ou trocadas em equivalência. Nesse sentido, cryptocurrencies, como Bitcoin, são fungíveis, ou idênticos entre si, o que significa que eles podem ser usados para transações comerciais.
NFTs podem ser criados a partir de qualquer tipo de arte, fotografia, música, ou arquivos de vídeo. Você pode criar um a partir de quase qualquer coisa única que tenha valor e depois possa ser armazenada digitalmente. NFTs podem ser pensados como um item de colecionador, como uma pintura ou um item de leilão. Contudo, em vez de comprar um item físico, você estaria pagando pelo arquivo e a prova de que possui a cópia original.
Você pode ler mais sobre os riscos que os NFTs escondem no seguinte artigo: Quão seguros são seus ativos digitais?