พบข้อบกพร่องด้านความปลอดภัยที่สำคัญที่อาจเกิดขึ้นใน Rarible ซึ่งเป็นตลาดยอดนิยมสำหรับโทเค็นที่ไม่สามารถใช้งานร่วมกันได้ (NFTs) ซึ่งอาจทำให้ผู้ใช้สูญเสีย NFTs ของพวกเขา แต่ยังรวมถึงสกุลเงินดิจิทัลโดยตรงจากกระเป๋าเงินของพวกเขาด้วย
รายงาน Check Point Research (CPR) ระบุช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถขโมยสินทรัพย์ดิจิทัลของใครบางคนในธุรกรรมเดียว สิ่งที่เลวร้ายที่สุดคือทุกอย่างจะเกิดขึ้นในตลาดเอง สถานที่ที่คนทั่วไปจะรู้สึกสงสัยน้อยลง
ตามรายงานของ CPR วิธีการดังกล่าวนั้นเรียบง่ายและรวมถึงการสร้าง "NFT ที่เป็นอันตราย" หากมีใครบังเอิญไปพบมันและคลิกที่มัน NFT ที่เป็นอันตรายจะใช้โค้ด JavaScript เพื่อพยายามส่งคำขอ setApprovalForAll ไปยังเหยื่อ
NFT ที่เป็นอันตราย
ในกรณีที่เหยื่อส่งคำขอ พวกเขาจะอนุญาตให้ NFT ที่เป็นอันตรายเข้าถึง endpoint ของตนได้อย่างเต็มที่
“ในเดือนตุลาคมปีที่แล้ว เราค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญใน OpenSea ซึ่งเป็นตลาด NFT ที่ใหญ่ที่สุดในโลก ตอนนี้เราได้ระบุช่องโหว่ที่คล้ายกันใน Rarible แล้ว” Oded Vanunu หัวหน้าฝ่ายวิจัยช่องโหว่ของผลิตภัณฑ์ที่ Check Point Software กล่าว
“ในแง่ของความปลอดภัย ยังคงมีช่องว่างขนาดใหญ่ระหว่างโครงสร้างพื้นฐาน Web2 และ Web3 ช่องโหว่เล็ก ๆ ใด ๆ จะเปิดประตูหลังสำหรับอาชญากรไซเบอร์เพื่อขโมยกระเป๋าเงินดิจิทัลที่อยู่เบื้องหลัง เรายังคงอยู่ในสถานะที่ตลาดที่ผสมโปรโตคอล Web3 ขาดแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่ง ผลกระทบที่ตามมาหลังจากการแฮ็ค crypto อาจรุนแรงมาก เราได้เห็นเงินหลายล้านดอลลาร์ถูกดูดออกจากผู้ใช้ตลาดที่รวมเทคโนโลยีบล็อกเชน
ปีที่แล้ว Rarible มีปริมาณการซื้อขายมากกว่า 273 ล้านยูโร ทำให้เป็นหนึ่งในตลาด NFT ที่ใหญ่ที่สุดในโลก
บริษัทแจ้งให้ตลาดทราบถึงการค้นพบนี้ และกล่าวว่า "เชื่อว่า Rarible จะได้รับการแก้ไขภายในเวลาที่เผยแพร่นี้" เราได้ติดต่อ Rarible เพื่อดูว่าเป็นเช่นนั้นจริงหรือไม่ และเราจะอัปเดตบทความตามนั้น
อย่างไรก็ตาม เนื่องจากเป็นวันหยุดสุดสัปดาห์อีสเตอร์ อาจเป็นเวลา XNUMX-XNUMX วันก่อนที่เราจะได้ยินจาก Rarible
“ปัจจุบัน ผู้ใช้ต้องจัดการกระเป๋าเงินสองประเภท: ประเภทหนึ่งสำหรับสกุลเงินดิจิทัลส่วนใหญ่ และอีกประเภทหนึ่งสำหรับการทำธุรกรรมเฉพาะ” Vanunu กล่าวต่อ
“หากกระเป๋าเงินสำหรับการทำธุรกรรมเฉพาะเจาะจงถูกบุกรุก ผู้ใช้อาจยังคงอยู่ในสถานะที่พวกเขาไม่สูญเสียทุกสิ่งทุกอย่าง”