بخش تحقیقاتی شرکت امنیت سایبری Check Point اعلام کرد که در بازار NFT محبوب Rarible یک آسیب پذیری مهم پیدا کرده است که می توانست باعث شود تنها با یک تراکنش، بسیاری از NFT های بیش از 2 میلیون کاربر فعال این پلتفرم به سرقت برود.
قبل از هر چیز لازم به ذکر است که Check Point یک شرکت امنیت IT چند ملیتی است که در شهر رامات گان و در سال 1993 راه اندازی شد و همچنین مدعی شده که توانسته مشکلات امنیتی در رابطه با ایردراپ های مخرب در بازار OpenSea در مهر سال گذشته را شناسایی کند.
بنابر داده های منتشر شده برای کوین تلگراف، Check Point Research (CPR) اخیرا کشف کرده که هکرهای بزهکار می توانستند یک لینک مخرب حاوی یک NFT را به کاربران ارسال کنند که در واقع یک کد JavaScript در آن باشد که بعد از کلیک روی آن کاربر درخواست setAprovalForAll را تایید می کند.
اگر روی لینک کلیک شود، در واقع کاربر دسترسی کامل به ولت های متصل شده به بازار Rarible را به مهاجم می دهد. البته CPR اعلام کرد که در روز 16 فروردین بازار Rarible را نسبت به این آسیب پذیری مطلع کرده و توسعه دهندگان این پلتفرم هم به سرعت آن را رفع کرده اند.
«اگر از این ضعف امنیتی سواستفاده می شد، می توانست به مهاجم این امکان را بدهد که تنها با یک تراکنش، تمامی NFT ها و کوین های کاربران را به سرقت ببرد. یک حمله موفق می توانست فقط با یک NFT مخرب و از طریق خود بازار Rarible رخ دهد. جایی که کاربران برای انجام تراکنش ها و ذخیره دارایی ها به آن اعتماد کرده بودند.»
اودد وانونو (Oded Vanunu) رئیس تحقیقات آسیب پذیری محصولات Check Point در مصاحبه با کوین تلگراف گفت که توجه تیم او زمانی به این نوع از کلاهبرداری جلب شد که یک خواننده معروفی تایوانی به نام Jay Chou در دام چنین حمله ای افتاد. در اواسط فروردین ماه، Bored Ape 3738 متعلق به این خواننده، با همین روش از دست او خارج شده است.
وانونو از تخمین مقدار سرقت احتمالی با این روش کلاهبرداری سر باز زد، زیرا ممکن بود «توسط هر کاربری در پلتفرم شناسایی شود» لازم به ذکر است که حمله اینچنینی در اواخر سال گذشته هم برای یک ولت متعلق به موسس DeFinance Capital یعنی Arthur0x چنین اتفاقی افتاد که منجر به از دست رفتن 600 اتر (1.86 میلیون دلار) شد.
CPR از کاربران خواست که در هنگام صدور هرگونه مجوز در پلتفرم های خرید و فروش NFT بسیار مراقب باشند و در صورت شک و شبه همه آن ها را از طریق ردیاب درخواست Etherscan چک کنند.
در آخر لازم به ذکر است که خبرگزاری کوین تلگراف برای پاسخگویی با بازار Rarible تماس گرفت و هنوز پاسخی از طرف آن ها دریافت نکرده است.
منبع : Cointelegraph
