Peneliti menemukan celah keamanan di Rarible: Pengguna dapat kehilangan semua NFT mereka

Lengan penelitian perusahaan perangkat lunak keamanan dunia maya, Check Pointdikatakan itu mengidentifikasi kerentanan di pasar NFT Rarible yang dapat menyebabkan banyak dari sekitar dua juta pengguna aktif bulanannya kehilangan NFT mereka dalam satu transaksi.

Check Point adalah perusahaan keamanan IT multinasional yang didirikan di Ramat Gan, Israel pada tahun 1993 dan juga mengklaim memilikitutul masalah yang berkaitan dengan airdrop berbahayadi OpenSea kembali pada Oktober 2021.

Menurut dokumen yang dibagikan dengan Cointelegraph, Check Point Research (CPR) baru-baru ini menemukan bahwa aktor jahat dapat mengirimi pengguna tautan yang meragukan ke NFT yang mengeksekusi kode JavaScript setelah mengeklik bahwa "berusaha mengirim permintaan setApprovalForAll kepada korban."

Jika tautan diklik, pengguna memberikanakses penuh ke dompet mereka di Rarible. CPR menyatakan bahwa mereka segera memberi tahu Rarible pada 5 April, dengan platform tersebut segera mengakui dan memperbaiki kelemahan keamanan:

“Jika dieksploitasi, kerentanan akan memungkinkan aktor ancaman mencuri NFT pengguna dan dompet mata uang kripto dalam satu transaksi. Serangan yang berhasil akan datang dari NFT jahat di dalam pasar Rarible itu sendiri, di mana pengguna tidak terlalu curiga dan terbiasa mengirimkan transaksi.”

Pencurian NFT

Berbicara dengan Cointelegraph, Oded Vanunu, kepala penelitian kerentanan produk di Check Point Software mengatakan timnya menjadi tertarik dengan jenis penipuan ini setelah penyanyi Taiwan Jay Chou menjadi korban serangan serupa. Chou's BoredApe #3738 NFT disapu melalui transaksi jahat pada awal bulan ini.

“Begitu kami melihat NFT ini dicuri, itu memberi kami insentif untuk menyelidiki lebih lanjut.” Kerentanan seperti itu juga bisa terjadi di banyak platform lain, kata Vanunu.

“Rarible mengenali kelemahan keamanan dengan cepat dan memperbaikinya dengan menghapus opsi unggah file SVG. Ini menghentikan opsi serangan NFT yang berbahaya, ”Vanunu mengkonfirmasi.

Terkait:Trezor menyelidiki potensi pelanggaran data saat pengguna menyebutkan serangan phishing

Vanunu menolak untuk memperkirakan nilai potensial yang hilang yang dapat diakibatkan oleh kelemahan keamanan, karena hal itu dapat "dipicu pada pengguna mana pun di platform". Khususnya, serangan serupa hanya pada satu dompet milik pendiri DeFiance Capital Arthur0x bulan lalu mengakibatkan kerugian sekitar 600 Ether ($1,86 juta).

CPR mendesak pengguna untuk rajin setiap kali mereka menyetujui permintaan apa pun di platform NFT dan memverifikasi semuanyamelalui Etherscan permintaan pelacak di saat ketidakpastian.

Cointelegraph telah menghubungi Rarible untuk mengomentari masalah tersebut, dan akan memperbarui ceritanya jika perusahaan merespons.