Check Point, la multinacional estadounidense-israelí que proporciona productos de hardware y software para la seguridad de TI, reveló que identificó una falla de seguridad en el popular mercado NFT Rarible, que cuenta con más de dos millones de usuarios activos mensuales.
Fallo de seguridad en Rarible
En un del blog, CPR declaró que la falla, si se hubiera explotado, habría permitido a un actor malicioso desviar los NFT y las billeteras de criptomonedas de un usuario en una sola transacción.
Rarible es uno de los mercados más establecidos en el sector NFTF. Informó más de $ 273 millones en volumen de operaciones en 2021. Por lo tanto, CPR mencionó que los usuarios de la plataforma son "menos sospechosos y están menos familiarizados con el envío de transacciones". Los investigadores de la firma alertaron a Rarible del descubrimiento el 5 de abril, luego de lo cual la plataforma NFT reconoció la falla y la solucionó de inmediato.
Al describir el método de ataque, CPR señaló:
“La víctima recibe un enlace al NFT malicioso o navega por el mercado y hace clic en él. El NFT malicioso ejecuta código JavaScript e intenta enviar una solicitud setApprovalForAll a la víctima. La víctima envía la solicitud y otorga acceso total a este NFT/token criptográfico al atacante”.
CPR se interesó por primera vez por este tipo de casos después de que el popular cantante taiwanés Jay Chou fuera víctima de un ciberataque similar. Según se informa, los atacantes robaron el NFT de Chou y luego lo vendieron por $ 500k.
Curiosamente, la firma también detectado vulnerabilidades de seguridad críticas en OpenSea en octubre pasado, lo que podría haber permitido a los atacantes "secuestrar cuentas de usuario y robar billeteras de criptomonedas completas mediante la elaboración de NFT maliciosos".
También instó a los usuarios a tener precaución al revisar lo que se solicita. Si la solicitud parece anormal o sospechosa, deben rechazarla e inspeccionarla más a fondo antes de otorgar cualquier tipo de autorización.
Ataques desenfrenados a los mercados de NFT
El desarrollo llega poco más de un mes después del mercado NFT basado en Arbitrum - TreasureDAO - fue testigo de cientos de NFT robados en un exploit en una serie de transacciones. Las entidades maliciosas explotaron una vulnerabilidad de seguridad en el protocolo que les permitió acuñar tokens no fungibles de forma gratuita.
El front-end de OpenSea también se explotó a principios de año, dirigido a los titulares de Bored Ape Yacht Club (BAYC). Como se informó anteriormente, el perpetrador gestionado para robar alrededor de $ 750K en ETH.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/