Sicherheitslücke im NFT-Marktplatz Rarible – it-daily.net

Les chercheurs en sécurité de Check Point Research (CPR) ont découvert une faille de sécurité sur le marché NFT Rarible. L’exploitation aurait pu entraîner le vol des NFT et des crypto-monnaies de chaque utilisateur.

Une simple transaction frauduleuse aurait suffi. Immédiatement après avoir découvert la vulnérabilité, CPR l’a signalée à Rarible le 5 avril, qui a pris note de l’avertissement. Les chercheurs en sécurité pensent que la faille de sécurité aurait dû être comblée au moment de la publication de ce rapport – mais ne le confirment pas. Rarible est le deuxième marché NFT sur lequel CPR a découvert une vulnérabilité dangereuse, car les chercheurs en sécurité ont trouvé quelque chose de similaire en octobre 2021 sur le plus grand marché NFT au monde d’OpenSea.

L’attaque frauduleuse aurait été lancée par un NFT malveillant sur le marché Rarible lui-même, auquel les utilisateurs font confiance. La cible de l’escroc recevrait le lien vers le NFT infecté et cliquerait dessus pour lancer l’attaque – ou un utilisateur parcourrait le marché et trouverait au hasard ce NFT infecté mais d’apparence inoffensive et cliquerait dessus. Le NFT malveillant exécute du code JavaScript, qui demande ensuite ApprovalForAll à l’utilisateur. Si l’utilisateur le confirme négligemment, il donne accès à ses NFT et crypto tokens. Ensuite, les pirates pourraient voler les portefeuilles pour les NFT et la crypto-monnaie de la victime en une seule transaction.

Les experts ont remarqué cette fois le 1er avril que les NFT ont été volés au chanteur taïwanais Jay Chou et vendus sur le marché Rarible pour 500 000 dollars américains. Chou a été amené à accepter une demande similaire, qui a ensuite utilisé une transaction pour accéder à son BoardAppe NFT 3788. Rarible a rapporté des ventes de 2021 sur son marché de 273 millions de dollars, faisant de la plate-forme l’une des plus importantes du marché.

Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point Software Technologies, déclare : « CPR a investi des ressources importantes dans l’étude de l’intersection de la crypto-monnaie et de la sécurité informatique. Nous continuons de voir de gros efforts de la part des cybercriminels qui tentent de tirer de gros profits des crypto-monnaies et en particulier des marchés NFT. En octobre de l’année dernière, nous avons découvert des failles de sécurité critiques dans OpenSea, le plus grand marché NFT au monde. Nous avons maintenant trouvé des vulnérabilités similaires dans Rarible. En termes de sécurité, il existe encore un grand écart entre l’infrastructure Web2 et Web3.

Toute petite vulnérabilité ouvre une porte dérobée aux pirates pour détourner les portefeuilles cryptographiques dans les coulisses. Nous sommes toujours dans un état où les places de marché qui combinent les protocoles Web3 n’ont pas de bonnes pratiques de sécurité. Les conséquences d’un piratage cryptographique peuvent également être extrêmes. Nous avons vu des millions de dollars volés aux utilisateurs de places de marché qui combinent les technologies de la blockchain. Je m’attends actuellement à une nouvelle augmentation de ces vols. Les utilisateurs doivent être prudents. Ils doivent actuellement gérer deux types de portefeuilles : un pour la majorité de leurs crypto-monnaies et un autre pour des transactions spécifiques uniquement. Cependant, si seul le portefeuille de certaines transactions est attaqué, les utilisateurs peuvent toujours être en mesure de ne pas tout perdre. Dans tous les cas, le CPR continuera de rechercher les implications de la nouvelle technologie blockchain en matière de sécurité.

Le CPR recommande d’être prudent et vigilant lors de la réception de demandes de signature sur de tels marchés, y compris au sein du marché lui-même. Avant d’approuver une demande, les utilisateurs doivent examiner attentivement ce qui est demandé et déterminer si la demande est inhabituelle ou suspecte.

Informations Complémentaires:

En cas de doute, ils doivent refuser la demande et l’examiner plus avant avant d’accorder l’approbation. Il est également conseillé aux utilisateurs de vérifier et de révoquer les approbations de jetons sur ce lien : https://etherscan.io/tokenapprovalchecker.

Vous pouvez obtenir un aperçu ici.

www.checkpoint.com

Leave a Comment