El brazo de investigación de la firma de software de seguridad cibernética Check Point dijo identificó una vulnerabilidad en el mercado de Rarible NFT que podría haber provocado que muchos de sus aproximadamente dos millones de usuarios mensuales activos perdieran sus NFT en una sola transacción.
Check Point es una empresa multinacional de seguridad de TI que se fundó en Ramat Gan, Israel en 1993 y también afirmó tener manchado problemas relacionados con airdrops maliciosos en OpenSea en octubre 2021.
Según documentos compartidos con Cointelegraph, Check Point Research (CPR) descubrió recientemente que los actores maliciosos podrían enviar a los usuarios un enlace dudoso a un NFT que ejecuta código JavaScript después de hacer clic en "intentar enviar una solicitud setApprovalForAll a la víctima".
Si se hace clic en el enlace, el usuario concede acceso completo a sus billeteras en Rarible. CPR declaró que notificó de inmediato a Rarible el 5 de abril, y la plataforma reconoció y corrigió rápidamente la falla de seguridad:
“Si se explotara, la vulnerabilidad habría permitido a un actor de amenazas robar los NFT y las billeteras de criptomonedas de un usuario en una sola transacción. Un ataque exitoso habría provenido de un NFT malicioso dentro del propio mercado de Rarible, donde los usuarios son menos sospechosos y están más familiarizados con el envío de transacciones".
Robo de NFT
Hablando con Cointelegraph, Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software, dijo que su equipo se interesó en este tipo de estafa después de que el cantante taiwanés Jay Chou fuera víctima de un ataque similar. El BoredApe #3738 NFT de Chou fue robado a través de una transacción nefasta a principios de este mes.
“Una vez que vimos que este NFT fue robado, nos dio el incentivo para investigar más a fondo”. Tal vulnerabilidad también podría ser posible en muchas otras plataformas, dijo Vanunu.
“Rarible reconoció la falla de seguridad rápidamente y la solucionó eliminando la opción de carga de archivos SVG. Esto puso fin a la opción de ataque NFT malicioso”, confirmó Vanunu.
Relacionado: Trezor investiga una posible violación de datos ya que los usuarios citan ataques de phishing
Vanunu se negó a estimar el valor potencial perdido que podría haber resultado en la falla de seguridad, ya que podría haber sido "activada en cualquier usuario de la plataforma". En particular, un ataque similar en una sola billetera perteneciente al fundador de DeFiance Capital, Arthur0x, el mes pasado resultó en la pérdida de aproximadamente 600 Ether ($ 1.86 millones).
CPR instó a los usuarios a ser diligentes cada vez que aprueben cualquier solicitud en las plataformas NFT y verificarlas todas. a través de Etherscan rastreador de solicitudes en tiempos de incertidumbre.
Cointelegraph se ha comunicado con Rarible para comentar sobre el asunto y actualizará la historia si la empresa responde.
Fuente: https://cointelegraph.com/news/researchers-find-security-flaw-in-rarible-users-could-have-lost-all-their-nfts