Crypto

희귀 NFT 마켓플레이스 취약점이 체크포인트에 의해 노출되다 – crypto.news

04/14/2022
비트 코인 이더 리움 뉴스

사이버 보안 소프트웨어 회사인 Check Point의 연구원이 Rarible NFT 시장의 취약점을 확인했습니다. 해커가 NFT를 실행했다면 약 XNUMX백만 명의 월간 활성 사용자 수십만 명이 NFT를 잃었을 것입니다.

체크포인트의 책임 있는 공개

Check Point Research는 "성공적인 공격은 사용자가 덜 의심스럽고 거래 제출에 익숙하지 않은 Rarible 시장 자체 내의 악의적인 NFT에서 비롯되었을 것입니다."라고 말했습니다.

NFT EIP-721 표준의 일부인 "setApprovalForAll" 기능의 문제는 NFT 자산에 대한 완전한 제어를 다른 당사자에게 제공한다는 것입니다. 피싱 공격은 피해자의 자산을 훔치도록 설계될 수 있습니다. 합법적인 출처에서 온 것처럼 보이는 트랜잭션 요청에 서명하도록 설득할 수 있습니다.

Rarible의 보안 문제로 인해 사용자는 잠재적인 악성 콘텐츠를 확인하지 않고 최대 100MB의 미디어 파일을 업로드할 수 있었습니다. Check Point의 연구원들은 악성 JavaScript 페이로드가 포함된 SVG 이미지를 만들어 이 문제를 악용했습니다.

대상이 NFT 이미지 또는 IPFS 링크를 클릭하면 시스템이 코드를 실행합니다. 따라서 브라우저에서 트랜잭션 요청을 트리거하십시오. 대상이 트랜잭션의 세부 사항을 이해하지 못하는 경우 요청을 승인할 수 있습니다. 공격자가 전체 컬렉션에 액세스할 수 있습니다. 그런 다음 공격자는 "transferFrom" 작업을 사용하여 NFT를 훔쳐서 지갑으로 전송합니다. 이 작업은 되돌릴 수 없습니다.

영상

플랫폼 CPR은 5월 XNUMX일 Rarible에 이 문제를 알렸습니다. 회사는 즉시 문제를 인정하고 수정했습니다.

NFT 절도는 위협입니다

Check Point Software의 보안 연구원인 Oded Vanunu는 대만 가수 Jay Chou가 피해자가 된 후 회사가 이 공격에 관심을 갖게 되었다고 말했습니다. Chou의 BoredApe #3738 NFT는 XNUMX월 초에 사악한 거래를 통해 도용되었습니다.

Vanunu는 "이 NFT가 도난당했다는 사실을 알게 되자 추가 조사를 하게 되었습니다."라고 말했습니다. 그는 또한 이러한 취약점이 다른 많은 플랫폼에서 발생할 수 있다고 덧붙였습니다. 이 취약점은 SVG 파일 업로드 옵션을 제거한 Rarible에 의해 신속하게 수정되었습니다. Vanunu는 악의적인 NFT 공격 옵션을 종료했다고 덧붙였습니다.

Vanunu에 따르면 플랫폼의 모든 사용자가 보안 결함을 유발할 수 있습니다. 그러나 그는 얼마나 많은 것을 잃을 수 있었는지 추정하지 않았습니다. Arthur Chung의 지갑에 대한 유사한 공격으로 인해 1.86만 달러 이상의 손실이 발생했습니다. 따라서 사용자는 NFT 플랫폼에서 요청을 승인할 때 항상 부지런해야 합니다. 또한 가능할 때마다 Etherscan의 요청 추적기를 사용해야 합니다.

자산 보호의 필요성

Check Point가 작년에 OpenSea에서 유사한 결함을 발견했기 때문에 이 문제가 Rarible에만 국한된 것이 아니라는 점에 유의하는 것이 중요합니다. NFT 거래 표준의 문제점은 자산 보유자가 자신의 진정성을 판단하기 어렵게 만든다는 것입니다.

따라서 어떤 내용이 포함되어 있는지 확인하기 위해 서명을 요청받은 모든 항목을 주의 깊게 조사해야 합니다. 또한 관련 내용이 확실하지 않은 경우 서명하지 마십시오. 사용자는 이 토큰 승인 검사기를 사용하여 이전 토큰 승인을 보고 사기성으로 보이는 승인을 취소하는 것이 좋습니다.

이러한 공격의 특성으로 인해 완료하는 데 시간이 오래 걸리고 자산 전송에 영향을 줄 수 있습니다. 블록체인 기술이 계속 발전함에 따라 투자자는 자산을 보호할 때 더욱 신중해야 합니다.

열린 바다는 곤경에 처해 있습니다

두 원고에 따르면 OpenSea는 해커가 NFT(Non-Fungible Token)를 훔칠 수 있는 보안 취약점을 해결하지 못했습니다. 이러한 문제를 해결하지 못하여 수십만 달러의 손해가 발생했습니다.

또 다른 사용자는 OpenSea가 NFT를 보호해야 할 책임을 사용자에게 부여한다고 불평했습니다. NFT 장면이 계속해서 사기와 사기에 시달릴 때 발생합니다.

두 원고가 OpenSea를 상대로 제기한 소송은 NFT 관련 청구 처리와 관련하여 선례가 될 수 있습니다. 중앙 집중식 기관이 없으면 법원 시스템이 이러한 사건을 처리하는 데 도움이 될 것입니다.

출처: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/