Уязвимость Rarible могла лишить пользователей всех NFT

Уязвимость Rarible могла лишить пользователей всех NFT

Специалисты компании Check Point Research (CPR) обнаружили уязвимость в NFT-маркетплейсе Rarible. Эксплойт позволил бы злоумышленнику вывести все активы из кошелька любого из двух миллионов пользователей одной транзакцией.

Успешная атака могла произойти с помощью вредоносного NFT на платформе. Пользователи в этом случае менее подозрительны и им знакома процедура отправки транзакций, отметили эксперты.

Вероятную методологию атаки в CPR описали так:

  • жертва получает ссылку на содержащий скрипт токен или кликает на него, просматривая площадку;
  • выполняемый код JavaScript пытается отправить пользователю запрос setApprovalForAll;
  • жертва подтверждает его и предоставляет злоумышленнику полный доступ к своим активам.
  • По словам экспертов, проверить безопасность Rarible на возможность такой атаки их мотивировало, то, что они уже столкнулись с подобным инцидентом. 1 апреля тайваньского певца Джея Чоу обманом заставили подтвердить транзакцию, после чего его NFT Bored Ape #3738 был продан на торговой площадке за $500 000.

    Также специалисты CPR опирались на результаты своего исследования маркетплейса OpenSea в октябре 2021 года, в ходе которого обнаружили критические уязвимости.

    Согласно блогу, 5 апреля компания сообщила о своих выводах команде Rarible, которая «признала баг и устранила его».

    Тем не менее, эксперты посоветовали пользователям быть внимательными при получении запросов даже на самой торговой площадке. В случае каких-либо сомнений они рекомендовали отклонять подобные предложения.

    В январе в функции листинга OpenSea была обнаружена уязвимость, которая позволяла выкупать токены по заниженной цене. Только один из пользователей через API маркетплейса на Rarible получил через махинации 347 ETH.

    Совокупные потери составили 750 ETH, которые OpenSea клиентам возместил.

    Источник

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Bitcoin

    Пpaвитeльcтвo Kaзaxcтaнa coздacт блaгoпpиятныe уcлoвия для кpиптoиндуcтpии

    Пpeзидeнт Kaзaxcтaнa Kacым-Жoмapт Toкaeв пopучил миниcтpaм coздaть блaгoпpиятныe уcлoвия для цифpoвoй экocиcтeмы, вбиpaющeй кpиптoвaлюты и цифpoвыe aктивы. Этo пopучeниe пpoзвучaлo нa caммитe финaнcoвoгo ceктopa, cocтoявшeмcя в Meждунapoднoм финaнcoвoм цeнтpe «Acтaнa». B гocудapcтвeннoм цeнтpe ужe paбoтaeт pяд фиpм, cвязaнныx c кpиптoвaлютoй и мaйнингoм. B caммитe пpиняли учacтиe pяд выcoкoпocтaвлeнныx пpeдcтaвитeлeй мecтнoгo и зapубeжнoгo финaнcoвoгo ceктopa c […]

    Читать дальше
    Bitcoin

    Lightning-клиент LND получил поддержку Taproot

    Разработчики Lightning Labs выпустили бета-версию клиента LND для Lightning Network с поддержкой некоторых последних улучшений протокола биткоина, включая Taproot. Announcing lnd 0.15 beta: To Taproot and Beyond! ♾️ Featuring:🥕Taproot + Musig2 support for better privacy + efficiency, Taro soon™📉 ~95% database space reduction for new data🎛️ New pathfinding tool to choose speed vs. cost of […]

    Читать дальше
    Bitcoin

    Майнеры капитулируют под давлением больших убытков

    Добыча биткоина (BTC)становится все менее прибыльным делом. Как следствие, криптомайнеры все больше теряют интерес к этому бизнесу. Как следствие, это приводит к падению показателей хэшрейта и майнинговой сложности. Прибыльность майнинга BTC падает Эксперты аналитической компании CoinMetrics недавно провели глубокий анализ состояния сети BTC и майнингового сектора, отметив, что текущий квартал оказался для крипторынков чрезвычайно волатильным. Как считают аналитики, основной причиной массового […]

    Читать дальше