IT 보안을 위한 하드웨어 및 소프트웨어 제품을 제공하는 미국-이스라엘 다국적 기업인 Check Point는 월간 활성 사용자가 XNUMX만 명이 넘는 인기 NFT 마켓플레이스 Rarible에서 보안 결함을 식별했다고 밝혔습니다.
Rarible의 보안 결함
안에 블로그 게시물, CPR은 이 결함이 악용될 경우 악의적인 행위자가 단일 거래로 사용자의 NFT와 암호화폐 지갑을 빼낼 수 있게 했을 것이라고 밝혔습니다.
Rarible은 NFTF 부문에서 가장 확고한 마켓플레이스 중 하나입니다. 273년 거래량이 2021억 5만 달러 이상이라고 보고했습니다. 따라서 CPR은 플랫폼 사용자가 "거래 제출에 덜 의심스럽고 익숙하다"고 언급했습니다. 회사의 연구원들은 XNUMX월 XNUMX일 Rarible에 이 발견에 대해 알렸고, 그 후 NFT 플랫폼은 결함을 인정하고 즉시 수정했습니다.
CPR은 공격 방법을 간략히 설명하면서 다음과 같이 언급했습니다.
“피해자는 악성 NFT에 대한 링크를 받거나 마켓플레이스를 탐색하여 클릭합니다. 악성 NFT는 JavaScript 코드를 실행하고 피해자에게 setApprovalForAll 요청을 보내려고 시도합니다. 피해자는 요청을 제출하고 공격자에게 이 NFT/암호화폐 토큰에 대한 전체 액세스 권한을 부여합니다.”
CPR은 대만의 인기 가수 주걸륜(Jay Chou)이 유사한 사이버 공격의 희생양이 된 이후 처음으로 이러한 유형의 사례에 관심을 갖게 되었습니다. 보도에 따르면 공격자들은 Chou의 NFT를 훔쳐 나중에 500만 달러에 팔았습니다.
흥미롭게도 회사에서도 탐지 된 지난 XNUMX월 OpenSea에서 발생한 심각한 보안 취약점으로 인해 공격자가 "악성 NFT를 제작하여 사용자 계정을 탈취하고 전체 암호화폐 지갑을 훔칠" 수 있었습니다.
또한 요청된 내용을 검토하는 동안 사용자들에게 주의를 기울일 것을 촉구했습니다. 요청이 비정상적이거나 의심스러운 경우 요청을 거부하고 승인을 제공하기 전에 추가 조사를 해야 합니다.
NFT 마켓플레이스에 대한 만연한 공격
이번 개발은 Arbitrum 기반 NFT 마켓플레이스인 TreasureDAO 이후 한 달 조금 넘게 이루어졌습니다. 목격 일련의 거래에서 악용으로 수백 개의 NFT가 도난당했습니다. 악의적인 주체는 대체 불가능한 토큰을 무료로 발행할 수 있는 프로토콜의 보안 취약점을 악용했습니다.
OpenSea의 프런트 엔드도 BAYC(Bored Ape Yacht Club) 보유자를 대상으로 연초에 악용되었습니다. 앞서 보도된 바와 같이 가해자는 관리 약 750만 달러 상당의 ETH를 훔쳤습니다.
출처: https://cryptopotato.com/cyber-security-firm-discovers-tical-vulnerability-on-nft-marketplace-rarible/