Les utilisateurs auraient pu perdre tous leurs NFT
La branche de recherche d’une entreprise de logiciels de cybersécurité Point de contrôle a déclaré avoir identifié une vulnérabilité sur le marché Rarible NFT qui aurait pu voir bon nombre de ses quelque deux millions d’utilisateurs mensuels actifs perdre leurs NFT en une seule transaction.
Check Point est une société multinationale de sécurité informatique qui a été fondée à Ramat Gan, en Israël, en 1993 et a également prétendu avoir Pointé problèmes liés aux parachutages malveillants sur OpenSea en octobre 2021.
Selon des documents partagés avec Cointelegraph, Check Point Research (CPR) a récemment découvert que des acteurs malveillants pouvaient envoyer aux utilisateurs un lien douteux vers un NFT qui exécute du code JavaScript après avoir cliqué sur « tente d’envoyer une demande setApprovalForAll à la victime ».
Si le lien est cliqué, l’utilisateur accorde un accès complet à ses portefeuilles sur Rarible. Le CPR a déclaré avoir immédiatement informé Rarible le 5 avril, la plate-forme reconnaissant et corrigeant rapidement la faille de sécurité :
«Si elle était exploitée, la vulnérabilité aurait permis à un acteur malveillant de voler les NFT et les portefeuilles de crypto-monnaie d’un utilisateur en une seule transaction. Une attaque réussie serait venue d’un NFT malveillant au sein du marché de Rarible lui-même, où les utilisateurs sont moins méfiants et familiarisés avec la soumission de transactions.
Vol NFT
S’adressant à Cointelegraph, Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point Software, a déclaré que son équipe s’était intéressée à ce type d’escroquerie après que le chanteur taïwanais Jay Chou ait été victime d’une attaque similaire. Le BoredApe # 3738 NFT de Chou a été piraté via une transaction néfaste au début de ce mois.
« Une fois que nous avons vu que ce NFT avait été volé, cela nous a incités à enquêter plus avant. » Une telle vulnérabilité pourrait également être possible sur de nombreuses autres plates-formes, a déclaré Vanunu.
« Rarible a rapidement reconnu la faille de sécurité et l’a corrigée en supprimant l’option de téléchargement de fichier SVG. Cela a mis fin à l’option d’attaque NFT malveillante », a confirmé Vanunu.
Lié: Trezor enquête sur une violation potentielle des données alors que les utilisateurs citent des attaques de phishing
Vanunu a refusé d’estimer la valeur potentielle perdue que la faille de sécurité aurait pu entraîner, car elle aurait pu être « déclenchée sur n’importe quel utilisateur de la plate-forme ». Notamment, une attaque similaire contre un seul portefeuille appartenant au fondateur de DeFiance Capital, Arthur0x, le mois dernier, a entraîné la perte d’environ 600 Ether (1,86 million de dollars).
Le CPR a exhorté les utilisateurs à faire preuve de diligence chaque fois qu’ils approuvent des demandes sur les plates-formes NFT et à les vérifier toutes via le suivi des demandes d’Etherscan en période d’incertitude.
Cointelegraph a contacté Rarible pour commenter la question et mettra à jour l’histoire si la société répond.