Check Point, la multinationale américano-israélienne qui fournit des produits matériels et logiciels pour la sécurité informatique, a révélé avoir identifié une faille de sécurité dans le populaire marché NFT Rarible, qui compte plus de deux millions d'utilisateurs actifs par mois.
Faille de sécurité sur Rarible
Dans un blog, CPR a déclaré que la faille, si elle était exploitée, aurait permis à un acteur malveillant de siphonner les NFT et les portefeuilles de crypto-monnaie d'un utilisateur en une seule transaction.
Rarible est l'un des marchés les plus établis du secteur NFTF. Il a signalé un volume de transactions de plus de 273 millions de dollars en 2021. Par conséquent, le CPR a mentionné que les utilisateurs de la plateforme sont "moins méfiants et familiarisés avec la soumission de transactions". Les chercheurs de la société ont alerté Rarible de la découverte le 5 avril, après quoi la plate-forme NFT a reconnu la faille et l'a corrigée immédiatement.
Décrivant la méthode d'attaque, CPR a noté:
«La victime reçoit un lien vers le NFT malveillant ou parcourt le marché et clique dessus. Le NFT malveillant exécute du code JavaScript et tente d'envoyer une demande setApprovalForAll à la victime. La victime soumet la demande et accorde un accès complet à ce NFT/Crypto Token à l'attaquant. »
CPR a d'abord été intrigué par ce type d'affaires après qu'un chanteur taïwanais populaire, Jay Chou, a été victime d'une cyberattaque similaire. Apparemment, les attaquants ont volé le NFT de Chou et l'ont ensuite vendu pour 500 XNUMX $.
Fait intéressant, l'entreprise a également détecté des vulnérabilités de sécurité critiques sur OpenSea en octobre dernier, qui auraient pu potentiellement permettre aux attaquants de "pirater des comptes d'utilisateurs et de voler des portefeuilles entiers de crypto-monnaie en créant des NFT malveillants".
Il a également exhorté les utilisateurs à faire preuve de prudence lors de l'examen de ce qui est demandé. Si la demande semble anormale ou suspecte, ils doivent la rejeter et l'inspecter davantage avant de fournir une quelconque autorisation.
Attaques rampantes sur les marchés NFT
Le développement intervient un peu plus d'un mois après le marché NFT basé sur Arbitrum - TreasureDAO - témoin des centaines de NFT ont été volés dans le cadre d'un exploit dans une série de transactions. Les entités malveillantes ont exploité une faille de sécurité dans le protocole qui leur a permis de fabriquer gratuitement des jetons non fongibles.
Le front-end d'OpenSea a également été exploité en début d'année, ciblant les détenteurs du Bored Ape Yacht Club (BAYC). Comme indiqué précédemment, l'agresseur gérés pour voler environ 750 XNUMX $ d'ETH.
100 $ gratuits Binance (exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (conditions).
Offre spéciale PrimeXBT: Utilisez ce lien pour vous inscrire et entrer le code POTATO50 pour recevoir jusqu'à 7,000 XNUMX $ sur vos dépôts.
Source : https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/