In Rarible, einem beliebten Marktplatz für nicht fungible Tokens (NFTs), wurde eine potenziell schwerwiegende Sicherheitslücke entdeckt, die dazu führen könnte, dass Benutzer nicht nur ihre NFTs, sondern auch Krypto direkt aus ihren Wallets verlieren.
Ein Bericht von Check Point Research (CPR) identifizierte eine Schwachstelle, die es einem potenziellen Angreifer ermöglichen würde, die digitalen Assets einer Person in einer einzigen Transaktion zu stehlen. Das Schlimmste ist, dass alles auf dem Markt selbst passieren würde, einem Ort, an dem die Menschen im Allgemeinen weniger misstrauisch wären.
Laut CPR-Bericht ist die Methodik einfach und beinhaltet die Erstellung einer „bösartigen NFT“. Wenn jemand darüber stolperte und darauf klickte, führte das bösartige NFT JavaScript-Code aus, um zu versuchen, eine setApprovalForAll-Anforderung an das Opfer zu senden.
bösartige NFTs
Sollte das Opfer die Anfragen senden, gewährt es dem böswilligen NFT vollen Zugriff auf Ihren Endpunkt.
„Im Oktober letzten Jahres entdeckten wir kritische Sicherheitslücken in OpenSea, dem weltweit größten NFT-Marktplatz. Wir haben jetzt ähnliche Schwachstellen in Rarible identifiziert“, sagte Oded Vanunu, Head of Product Vulnerability Research bei Check Point Software.
„In Bezug auf die Sicherheit besteht immer noch eine große Lücke zwischen der Web2- und der Web3-Infrastruktur. Jede kleine Schwachstelle öffnet Cyberkriminellen eine Hintertür, um Krypto-Geldbörsen hinter den Kulissen zu kapern. Wir befinden uns immer noch in einem Zustand, in dem Märkte, die Web3-Protokolle kombinieren, keine starke Sicherheitspraxis haben. Die Folgen eines Krypto-Hacks können extrem sein. Wir haben gesehen, wie Millionen von Dollar von Nutzern von Märkten abgezogen wurden, die Blockchain-Technologien kombinieren.
Im vergangenen Jahr hatte Rarible ein Handelsvolumen von über 273 Millionen Euro und ist damit einer der größten NFT-Märkte der Welt.
Das Unternehmen informierte den Markt über seine Entdeckung und sagte, dass es "glaubt, dass Rarible zum Zeitpunkt dieser Veröffentlichung eine Lösung parat haben wird". Wir haben uns an Rarible gewandt, um zu sehen, ob dies tatsächlich der Fall ist, und werden den Artikel entsprechend aktualisieren.
Da jedoch Osterwochenende ist, kann es einige Tage dauern, bis wir von Rarible hören.
„Derzeit müssen Benutzer zwei Arten von Wallets verwalten: eines für die meisten ihrer Kryptowährungen und eines nur für bestimmte Transaktionen“, fuhr Vanunu fort.
„Wenn die Brieftasche für bestimmte Transaktionen kompromittiert wird, können Benutzer immer noch in einer Position sein, in der sie nicht alles verlieren.“
