Rarible NFT Marketplace-ի խոցելիությունը բացահայտվում է Check Point-ի միջոցով – crypto.news

Կիբերանվտանգության ծրագրային ապահովման Check Point ընկերության հետազոտողները հայտնաբերել են խոցելիություն Rarible NFT շուկայում: Նրա մոտ երկու միլիոն ակտիվ ամսական հարյուր հազարավոր օգտատերեր կկորցնեին իրենց NFT-ները, եթե հաքերն այն գործադրեր:

Check Point-ի պատասխանատու բացահայտումը

«Հաջողակ հարձակումը կլիներ չարամիտ NFT-ից հենց Rarible-ի շուկայում, որտեղ օգտվողներն ավելի քիչ կասկածամիտ են և ծանոթ են գործարքներ ներկայացնելուն», - նշում է Check Point Research-ը:

NFT EIP-721 ստանդարտի մաս հանդիսացող «setApprovalForAll» ֆունկցիայի խնդիրն այն է, որ այն լրիվ վերահսկում է NFT ակտիվները մեկ այլ կողմի: Ֆիշինգի հարձակումները կարող են նախագծված լինել նրանց զոհերի ակտիվները գողանալու համար: Նրանք կարող են համոզել նրանց ստորագրել գործարքի հարցում, որը կարծես օրինական աղբյուրից է:

Rarible-ում անվտանգության խնդրի պատճառով օգտատերերը կարող էին վերբեռնել մինչև 100 ՄԲ մեդիա ֆայլեր՝ չստուգելով դրանք պոտենցիալ վնասակար բովանդակության համար: Check Point-ի հետազոտողները օգտվեցին այս խնդրից՝ ստեղծելով SVG պատկեր, որը պարունակում էր վնասակար JavaScript-ի ծանրաբեռնվածություն:

Համակարգը կգործարկի կոդը, եթե թիրախը սեղմի NFT պատկերին կամ IPFS հղմանը: Այսպիսով, գործարկեք գործարքի հարցում իրենց բրաուզերում: Եթե ​​թիրախը չի հասկանում գործարքի մանրամասները, նրանք կարող են հաստատել հարցումը: Այն թույլ է տալիս հարձակվողին մուտք գործել իրենց ամբողջ հավաքածուն: Այնուհետև հարձակվողը կօգտագործի «transferFrom» գործողությունը՝ NFT-ները գողանալու և դրանք դրամապանակ փոխանցելու համար: Նշենք, որ այս գործողությունն անշրջելի է:

CPR հարթակը խնդրի մասին ծանուցել է Rarible-ին ապրիլի 5-ին: Ընկերությունն անմիջապես ընդունել և ուղղել է խնդիրը:

NFT գողությունը սպառնալիք է

Check Point Software-ի անվտանգության հետազոտող Օդեդ Վանունուն ասել է, որ ընկերությունը հետաքրքրվել է այս հարձակմամբ այն բանից հետո, երբ զոհ է դարձել թայվանցի երգիչ Ջեյ Չոուն։ Chou's BoredApe #3738 NFT-ը սահեցվել է չար գործարքի միջոցով փետրվարի սկզբին:

«Երբ մենք տեսանք, որ այս NFT-ն գողացվել է, դա մեզ դրդեց հետաքննել հետագա», - ասաց Վանունուն: Նա նաև հավելեց, որ նման խոցելիությունը հնարավոր է շատ այլ հարթակներում։ Խոցելիությունը արագ շտկվեց Rarible-ի կողմից, որը հանեց SVG ֆայլերի վերբեռնման տարբերակը։ Այն դադարեցրեց չարամիտ NFT հարձակման տարբերակը, ավելացրեց Վանունուն:

Ըստ Vanunu-ի՝ հարթակի ցանկացած օգտատեր կարող էր անվտանգության թերություն առաջացնել: Սակայն նա չի գնահատել, թե որքան կարող էր կորցնել։ Արթուր Չոնգի դրամապանակի վրա նմանատիպ հարձակումը հանգեցրել է ավելի քան 1.86 միլիոն դոլարի կորստի: Հետևաբար, օգտվողները միշտ պետք է ջանասիրաբար լինեն NFT հարթակներում հարցումները հաստատելիս: Հնարավորության դեպքում նրանք նաև պետք է օգտագործեն Etherscan-ի հարցումների հետագծիչը:

Ձեր ակտիվները պաշտպանելու անհրաժեշտությունը

Կարևոր է նշել, որ այս խնդիրը եզակի չէ Rarible-ի համար, քանի որ Check Point-ը նմանատիպ թերություն հայտնաբերեց անցյալ տարի OpenSea-ում: NFT գործարքների ստանդարտի խնդիրն այն է, որ այն դժվարացնում է ակտիվների սեփականատերերի համար դրանց իսկությունը որոշելը:

Հետևաբար, դուք պետք է ուշադիր ուսումնասիրեք այն ամենը, ինչից խնդրում են ստորագրել՝ պարզելու, թե ինչ է դա ներառում: Բացի այդ, խուսափեք որևէ բան ստորագրելուց, եթե վստահ չեք, թե դա ինչ է ներառում: Խորհուրդ է տրվում, որ օգտատերերը դիտեն իրենց նախորդ նշանների հաստատումները և չեղյալ համարեն դրանք, որոնք կեղծ են թվում՝ օգտագործելով այս նշանի հաստատման ստուգիչը:

Այս հարձակումների բնույթից ելնելով, դրանց ավարտը կարող է ավելի երկար տևել և կարող է ազդել ակտիվների փոխանցման վրա: Քանի որ բլոկչեյն տեխնոլոգիան շարունակում է զարգանալ, ներդրողները պետք է ավելի զգույշ լինեն իրենց ակտիվները պաշտպանելիս:

Բաց ծովը դժվարության մեջ է

Երկու հայցվորների կարծիքով՝ OpenSea-ն չի կարողացել լուծել անվտանգության խոցելիությունները, որոնք թույլ են տվել հաքերներին գողանալ չփոխարինելի թոքեններ (NFT): Այս խնդիրները չլուծելը հարյուր հազարավոր դոլարների վնաս է պատճառել։

Մեկ այլ օգտատեր դժգոհեց, որ OpenSea-ն իր օգտատերերի վրա է դնում իրենց NFT-ները պաշտպանելու պարտականությունը: Դա գալիս է, քանի որ NFT տեսարանը շարունակում է պատուհասվել խարդախությունների և խարդախությունների պատճառով:

Երկու հայցվորների կողմից OpenSea-ի դեմ հարուցված հայցերը կարող են նախադեպ դառնալ NFT-ի հետ կապված պահանջների քննարկման վերաբերյալ: Կենտրոնացված իշխանության բացակայության դեպքում դատական ​​համակարգը շահավետ կլինի այդ գործերը վարելիս: