يجد الباحثون ثغرة أمنية في Rarible: كان من الممكن أن يفقد المستخدمون جميع عناصر NFT الخاصة بهم

الذراع البحثية لشركة برمجيات الأمن السيبراني Check Pointقال لقد حددت ثغرة أمنية في سوق Rarible NFT التي كان من الممكن أن ترى العديد من مستخدميها النشطين شهريًا البالغ عددهم حوالي مليوني مستخدم يفقدون NFTs في معاملة واحدة.

Check Point هي شركة أمن تكنولوجيا معلومات متعددة الجنسيات تأسست في رمات غان ، إسرائيل في عام 1993 وادعت أيضًا أنها تمتلكمراقب القضايا المتعلقة بعمليات الإنزال الجوي الخبيثةعلى OpenSea مرة أخرى في أكتوبر 2021.

وفقًا للوثائق التي تمت مشاركتها مع Cointelegraph ، اكتشفت Check Point Research (CPR) مؤخرًا أن الجهات الفاعلة الخبيثة يمكن أن ترسل للمستخدمين رابطًا مشكوكًا فيه إلى NFT الذي ينفذ كود JavaScript بعد النقر فوق ذلك "يحاول إرسال طلب setApprovalForAll إلى الضحية".

إذا تم النقر فوق الارتباط ، يمنح المستخدمالوصول الكامل إلى محافظهم نادر. ذكرت CPR أنها أخطرت على الفور Rarible في 5 أبريل ، مع قيام المنصة على الفور بالاعتراف بالثغرة الأمنية وإصلاحها:

"إذا تم استغلال الثغرة الأمنية ، فقد مكنت أحد الجهات الفاعلة من سرقة محافظ NFT الخاصة بالمستخدم والعملات المشفرة في معاملة واحدة. كان من الممكن أن يأتي الهجوم الناجح من NFT ضار داخل سوق Rarible نفسه ، حيث يكون المستخدمون أقل شكوكًا ودراية بشأن تقديم المعاملات ".

سرقة NFT

وفي حديثه مع كوينتيليغراف ، قال أوديد فانونو ، رئيس أبحاث الثغرات الأمنية للمنتجات في Check Point Software ، إن فريقه أصبح مهتمًا بهذا النوع من الاحتيال بعد أن وقع المغني التايواني جاي تشو ضحية لهجوم مماثل. تم تمرير Chou’s BoredApe # 3738 NFT عبر صفقة شائنة في بداية هذا الشهر.

"بمجرد أن رأينا أن NFT قد سُرق ، أعطانا الحافز لمزيد من التحقيق." وقال فعنونو إن مثل هذه الثغرة يمكن أن تكون ممكنة أيضًا على العديد من المنصات الأخرى.

"نادرًا ما أقر بوجود خلل أمني سريعًا وقام بإصلاحه عن طريق إزالة خيار تحميل ملف SVG. وأكد فانونو أن هذا أنهى خيار هجوم NFT الخبيث.

متعلق ب:يحقق Trezor في حدوث خرق محتمل للبيانات حيث يستشهد المستخدمون بهجمات التصيد الاحتيالي

رفض فعنونو تقدير القيمة المحتملة المفقودة التي قد ينتج عنها الخلل الأمني ، حيث كان من الممكن "تشغيله على أي مستخدم على المنصة". والجدير بالذكر أن هجومًا مشابهًا على محفظة واحدة فقط مملوكة لمؤسس DeFiance Capital Arthur0x الشهر الماضي أدى إلى خسارة ما يقرب من 600 إيثر (1.86 مليون دولار).

حث CPR المستخدمين على توخي الحرص في أي وقت يوافقون فيه على أي طلبات على منصات NFT والتحقق منها جميعًاعبر Etherscan's طلب تعقب في أوقات عدم اليقين.

تواصل Cointelegraph مع Rarible للتعليق على الأمر ، وسيقوم بتحديث القصة إذا استجابت الشركة.