Check Point кибер коопсуздук программалык камсыздоо фирмасынын изилдөөчүлөрү Rarible NFT базарында алсыздыкты аныкташты. Эгерде хакер аны ишке ашырса, анын жүз миңдеген эки миллионго жакын активдүү ай сайынгы колдонуучулары NFTтерин жоготмок.
Чек-Пойнттын Жооптуу Ачыкка чыгаруусу
"Ийгиликтүү чабуул Rarible'дин базарындагы зыяндуу NFTден келип чыкмак, мында колдонуучулар анча шектүү жана транзакцияларды тапшырууда жакшы билишет", - деп белгиледи Check Point Research.
NFT EIP-721 стандартынын бир бөлүгү болгон "setApprovalForAll" функциясынын көйгөйү бул NFT активдерин башка тарапка толук көзөмөлдөөнү камсыз кылууда. Фишингдик чабуулдар алардын курмандыктарынын активдерин уурдоо үчүн жасалышы мүмкүн. Алар мыйзамдуу булактан алынган транзакция өтүнүчүнө кол коюуга ынандыра алышат.
Raribleдеги коопсуздук маселесинен улам, колдонуучулар 100 МБга чейинки медиа файлдарды зыяндуу мазмунга текшербестен жүктөй алышат. Check Point изилдөөчүлөрү зыяндуу JavaScript жүктөмүн камтыган SVG сүрөтүн түзүү менен бул маселени колдонушкан.
Максат NFT сүрөтүн же IPFS шилтемесин чыкылдатса, система кодду аткарат. Демек, алардын браузеринде транзакция сурамын иштетиңиз. Эгер максаттуу транзакциянын чоо-жайын түшүнбөсө, алар өтүнүчтү бекитиши мүмкүн. Бул чабуулчуга бүт коллекцияга кирүү мүмкүнчүлүгүн берет. Андан кийин чабуулчу NFTлерди уурдап, аларды капчыгына өткөрүп берүү үчүн "transferFrom" аракетин колдонот. Бул иш-аракет артка кайтарылгыс экенин эске алыңыз.
CPR платформасы бул маселе тууралуу Рариблге 5-апрелде кабарлады. Компания дароо көйгөйдү моюнга алып, оңдоду.
NFT уурулук коркунуч болуп саналат
Check Point Software компаниясынын коопсуздук боюнча изилдөөчүсү Одед Ванунун айтымында, компания бул чабуулга Тайвандык ырчы Джей Чоу курман болгондон кийин кызыкдар болгон. Chou's BoredApe # 3738 NFT февраль айынын башында кара ниет транзакция аркылуу сүзүлгөн.
"Биз бул NFT уурдалганын көргөндөн кийин, бул бизди андан ары иликтөөгө шыктандырды" деди Вануну. Ал ошондой эле мындай аялуу башка көптөгөн платформаларда болушу мүмкүн экенин кошумчалады. Абал SVG файлдарын жүктөө опциясын алып салган Rarible тарабынан тез эле оңдолду. Бул зыяндуу NFT чабуул опциясын токтотту, деп кошумчалады Вануну.
Ванунун айтымында, платформадагы каалаган колдонуучу коопсуздук кемчилигин жаратышы мүмкүн. Бирок ал канча жоготуу болушу мүмкүн экенин эсептеген жок. Артур Чонгдун капчыгына ушундай эле кол салуу 1.86 миллион доллардан ашык чыгымга алып келген. Демек, колдонуучулар NFT платформаларында өтүнүчтөрдү бекитүүдө дайыма тырышчаак болушу керек. Алар ошондой эле мүмкүн болушунча Etherscan сурам трекерин колдонушу керек.
Сиздин активдериңизди коргоо зарылдыгы
Белгилей кетчү нерсе, бул маселе бир гана Rarible үчүн эмес, анткени Check Point өткөн жылы OpenSeaда ушундай кемчиликти тапкан. NFT транзакциясынын стандартындагы көйгөй бул актив ээлерине алардын аныктыгын аныктоону кыйындатат.
Ошондуктан, сизден кол коюуну талап кылынган нерселердин бардыгын кылдаттык менен текшерип, анын эмнени камтыганын билишиңиз керек. Ошондой эле, анын эмнени камтыганын билбесеңиз, эч нерсеге кол коюудан качыңыз. Бул колдонуучулар бул токен бекитүү текшергичинин жардамы менен алардын мурунку ырастоолорун көрүп, алдамчылык болуп көрүнгөндөрдү жокко чыгаруу сунушталат.
Бул чабуулдардын мүнөзүнөн улам, аларды аяктоо узакка созулуп, активдердин өтүшүнө таасир этиши мүмкүн. Блокчейн технологиясы өнүгүп жаткандыктан, инвесторлор активдерин коргоодо этият болушу керек.
Ачык деңиз кыйынчылыкта
Эки доогердин айтымында, OpenSea хакерлерге иштебей турган токендерди (NFTs) уурдоого мүмкүндүк берген коопсуздук кемчиликтерин чече алган жок. Бул маселелердин чечилбегени жүз миңдеген доллар зыян алып келди.
Дагы бир колдонуучу OpenSea өз колдонуучуларына NFTлерди коргоо милдетин жүктөйт деп нааразы болду. Бул NFT көрүнүшү алдамчылык жана алдамчылык менен күрөшүп жаткан кезде келет.
Эки доогердин OpenSeaга каршы доо арыздары NFT менен байланышкан дооматтарды кароодо прецедент түзүшү мүмкүн. Борборлоштурулган орган жок болгон учурда сот системасы бул иштерди кароодо пайдалуу болот.
Булак: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/