Check Point, der amerikanisch-israelische multinationale Konzern, der Hardware- und Softwareprodukte für die IT-Sicherheit anbietet, hat die Entdeckung einer Sicherheitslücke im beliebten NFT-Marktplatz Rarible aufgedeckt, der über zwei Millionen monatlich aktive Nutzer aufweist.
Sicherheitslücke bei Rarible
In einer Blog-PostCPR erklärte, dass die Schwachstelle, wenn sie ausgenutzt würde, es einem böswilligen Akteur ermöglicht hätte, die NFTs und Kryptowährungs-Wallets eines Benutzers in einer einzigen Transaktion abzuschöpfen.
Rarible ist einer der etabliertesten Marktplätze im NFTF-Sektor. Im Jahr 273 wurde ein Handelsvolumen von mehr als 2021 Millionen US-Dollar gemeldet. Daher erwähnte CPR, dass Plattformbenutzer „weniger misstrauisch und mit der Übermittlung von Transaktionen vertraut“ seien. Forscher des Unternehmens machten Rarible am 5. April auf die Entdeckung aufmerksam, woraufhin die NFT-Plattform den Fehler erkannte und ihn sofort behob.
CPR erläuterte die Angriffsmethode und stellte fest:
„Das Opfer erhält einen Link zum bösartigen NFT oder durchsucht den Marktplatz und klickt darauf. Der bösartige NFT führt JavaScript-Code aus und versucht, eine setApprovalForAll-Anfrage an das Opfer zu senden. Das Opfer reicht den Antrag ein und gewährt dem Angreifer vollen Zugriff auf dieses NFT/Krypto-Token.“
CPR wurde zum ersten Mal von Fällen dieser Art fasziniert, nachdem der beliebte taiwanesische Sänger Jay Chou Opfer eines ähnlichen Cyberangriffs wurde. Berichten zufolge haben Angreifer Chous NFT gestohlen und ihn später für 500 US-Dollar verkauft.
Interessanterweise auch die Firma erkannt kritische Sicherheitslücken auf OpenSea im vergangenen Oktober, die es Angreifern möglicherweise ermöglicht haben könnten, „Benutzerkonten zu kapern und ganze Kryptowährungs-Wallets zu stehlen, indem sie bösartige NFTs erstellen“.
Es forderte die Benutzer außerdem dazu auf, bei der Überprüfung der Anforderungen Vorsicht walten zu lassen. Wenn die Anfrage ungewöhnlich oder verdächtig erscheint, sollten sie sie ablehnen und weiter prüfen, bevor sie irgendeine Genehmigung erteilen.
Heftige Angriffe auf NFT-Marktplätze
Die Entwicklung erfolgt etwas mehr als einen Monat nach dem auf Arbitrum basierenden NFT-Marktplatz – TreasureDAO – Zeuge Hunderte von NFTs wurden durch einen Exploit in einer Reihe von Transaktionen gestohlen. Die böswilligen Entitäten nutzten eine Sicherheitslücke im Protokoll aus, die es ihnen ermöglichte, kostenlos nicht fungible Token zu prägen.
Zu Beginn des Jahres wurde auch das Frontend von OpenSea ausgenutzt, das sich an Inhaber des Bored Ape Yacht Club (BAYC) richtete. Wie bereits berichtet, der Täter verwaltet um ETH im Wert von rund 750 US-Dollar zu stehlen.
Binance Free $100 (exklusiv): Benutze diesen Link um sich zu registrieren und im ersten Monat $100 gratis und 10% Rabatt auf die Gebühren für Binance Futures zu erhalten (AGB).
PrimeXBT Sonderangebot: Benutze diesen Link um sich zu registrieren und den POTATO50-Code einzugeben, um bis zu $7,000 auf Ihre Einzahlungen zu erhalten.
Quelle: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/