Кибер аюулгүй байдлын програм хангамжийн Check Point фирмийн судлаачид Rarible NFT зах зээлд эмзэг байгааг илрүүлжээ. Хэрэв хакер үүнийг гүйцэтгэсэн бол түүний сар бүр хоёр сая орчим идэвхтэй хэрэглэгч олон зуун мянган NFT-ээ алдах байсан.
Check Point-ийн хариуцлагатай мэдээлэл
"Амжилттай халдлага нь Rarible-ийн зах зээлд хэрэглэгчид бага сэжигтэй, гүйлгээ илгээх талаар сайн мэддэг хортой NFT-ээс ирэх байсан" гэж Check Point Research тэмдэглэв.
NFT EIP-721 стандартын нэг хэсэг болох "setApprovalForAll" функцтэй холбоотой асуудал нь NFT хөрөнгийг өөр этгээдэд бүрэн хянах боломжийг олгодогт оршино. Фишинг халдлага нь хохирогчдын хөрөнгийг хулгайлах зорилготой байж болно. Тэд тэднийг хууль ёсны эх сурвалжаас авсан гүйлгээний хүсэлтэд гарын үсэг зурахыг итгүүлж чадна.
Rarible-ийн аюулгүй байдлын асуудлаас болж хэрэглэгчид 100MB хүртэл хэмжээтэй медиа файлуудыг хортой контент байгаа эсэхийг шалгахгүйгээр байршуулах боломжтой. Check Point-ийн судлаачид энэ асуудлыг ашиглаж, хортой JavaScript-н ачааллыг агуулсан SVG дүрсийг бүтээжээ.
Хэрэв зорилтот NFT дүрс эсвэл IPFS холбоос дээр дарвал систем кодыг гүйцэтгэх болно. Тиймээс, тэдний хөтөч дээр гүйлгээний хүсэлтийг эхлүүлнэ үү. Хэрэв зорилтот хүн гүйлгээний дэлгэрэнгүйг ойлгохгүй байвал хүсэлтийг зөвшөөрч болно. Энэ нь халдагчдад бүх цуглуулгадаа хандах боломжийг олгодог. Халдагчид NFT-г хулгайлж, түрийвч рүүгээ шилжүүлэхийн тулд "шилжүүлэх" үйлдлийг ашиглана. Энэ үйлдэл нь буцаагдах боломжгүй гэдгийг анхаарна уу.
Платформ CPR энэ асуудлын талаар 5-р сарын XNUMX-нд Rarible-д мэдэгдэв. Компани тэр даруй хүлээн зөвшөөрч, асуудлыг зассан.
NFT хулгай бол аюул юм
Тайванийн дуучин Жэй Чоу хохирогч болсны дараа тус компани энэхүү халдлагыг сонирхож эхэлсэн гэж Check Point Software компанийн аюулгүй байдлын судлаач Одед Вануну мэдэгдэв. Chou's BoredApe №3738 NFT-г XNUMX-р сарын эхээр бусармаг гүйлгээгээр дамжуулан хулгайлсан.
"Бид энэ NFT хулгайлагдсан болохыг олж харсны дараа энэ нь биднийг цаашид мөрдөн шалгахад түлхэц болсон" гэж Вануну хэлэв. Тэрээр мөн ийм эмзэг байдал бусад олон платформ дээр байж болно гэж нэмж хэлэв. Эмзэг байдлыг Rarible хурдан зассан бөгөөд энэ нь SVG файлуудыг байршуулах сонголтыг устгасан. Энэ нь хортой NFT халдлагын сонголтыг зогсоосон гэж Вануну нэмж хэлэв.
Ванунугийн хэлснээр платформ дээрх ямар ч хэрэглэгч аюулгүй байдлын доголдол үүсгэж болзошгүй юм. Гэсэн хэдий ч тэрээр хичнээн их хэмжээний хохирол учруулсан болохыг тооцоолоогүй байна. Артур Чонгийн түрийвч рүү үүнтэй төстэй халдлагын улмаас 1.86 сая гаруй долларын хохирол учирчээ. Тиймээс хэрэглэгчид NFT платформ дээрх хүсэлтийг батлахдаа үргэлж хичээнгүй байх ёстой. Тэд мөн боломжтой бол Etherscan-ийн хүсэлтийг хянах програмыг ашиглах ёстой.
Өөрийн хөрөнгөө хамгаалах хэрэгцээ
Өнгөрсөн жил Check Point OpenSea дээр ижил төстэй алдаа илрүүлсэн тул энэ асуудал зөвхөн Rarible-д хамаарахгүй гэдгийг анхаарах нь чухал юм. NFT гүйлгээний стандарттай холбоотой асуудал нь хөрөнгө эзэмшигчдэд тэдний жинхэнэ эсэхийг тодорхойлоход хэцүү болгодог.
Тиймээс, та гарын үсэг зурахыг хүссэн бүх зүйлийг сайтар шалгаж, үүнд юу багтаж байгааг олж мэдэх хэрэгтэй. Түүнчлэн, хэрэв та үүнд эргэлзэж байвал гарын үсэг зурахаас зайлсхий. Хэрэглэгчид өмнөх токены зөвшөөрлөө харж, энэ токен зөвшөөрлийн шалгагчийг ашиглан хууран мэхэлсэн мэт санагдсаныг хүчингүй болгохыг зөвлөж байна.
Эдгээр халдлагын шинж чанараас шалтгаалан тэдгээрийг дуусгахад удаан хугацаа шаардагдах бөгөөд эд хөрөнгийг шилжүүлэхэд нөлөөлж болно. Блокчейн технологи үргэлжлэн хөгжиж байгаа тул хөрөнгө оруулагчид хөрөнгөө хамгаалахдаа илүү болгоомжтой байх хэрэгтэй.
Нээлттэй тэнгис асуудалтай байна
Хоёр нэхэмжлэгчийн хэлснээр OpenSea нь хакеруудад үл ойлгогдох жетон (NFTs) хулгайлах боломжийг олгосон аюулгүй байдлын эмзэг байдлыг шийдэж чадаагүй. Эдгээр асуудлыг шийдэж чадаагүйгээс болж олон зуун мянган долларын хохирол учирсан.
Өөр нэг хэрэглэгч OpenSea нь хэрэглэгчдэдээ NFT-ээ хамгаалах үүрэг хариуцлага хүлээлгэдэг гэж гомдолложээ. Энэ нь NFT-ийн дүр зураг луйвар, залилан мэхлэлтэд нэрвэгдсээр байх үед гарч ирдэг.
Хоёр нэхэмжлэгчийн OpenSea-ийн эсрэг гаргасан нэхэмжлэл нь NFT-тэй холбоотой нэхэмжлэлийг шийдвэрлэхэд жишиг болж магадгүй юм. Төвлөрсөн эрх мэдэл байхгүй тохиолдолд шүүхийн тогтолцоо нь эдгээр хэргийг шийдвэрлэхэд ашигтай байх болно.
Эх сурвалж: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/