Faille de sécurité critique découverte sur le marché NFT Rarible

Des chercheurs ont identifié une faille de sécurité sur le marché NFT Rarible qui aurait pu conduire au vol de portefeuilles cryptographiques.

Si elle était exploitée, la vulnérabilité aurait permis à un acteur malveillant de voler les NFT et les portefeuilles de crypto-monnaie d'un utilisateur en une seule transaction.

Les chercheurs de CheckPoint ont déclaré qu'une attaque réussie proviendrait d'un NFT malveillant sur le marché de Rarible, où les gens sont moins méfiants et familiarisés avec la soumission de transactions. Pour le contexte, la plate-forme a enregistré un volume de transactions de 273 millions de dollars l'année dernière et compte plus de deux millions d'utilisateurs actifs par mois, ce qui en fait l'un des plus grands marchés NFT au monde.

Les conclusions ont été immédiatement divulguées à Rarible le 5 avril, qui a reconnu la faille de sécurité. Check Point a déclaré qu'il pensait que la société aurait déployé un correctif au moment de la publication.

"Le CPR a investi des ressources importantes dans l'examen de l'intersection de la crypto et de la sécurité", a commenté Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point Software. en particulier les places de marché NFT.

« En octobre de l'année dernière, nous avons découvert des failles de sécurité critiques dans OpenSea, le plus grand marché NFT au monde. Maintenant, nous avons identifié des vulnérabilités similaires dans Rarible. »

Non corrigées, ces failles de sécurité critiques trouvées dans OpenSea auraient pu permettre aux pirates de détourner des comptes d'utilisateurs et de voler des portefeuilles entiers de crypto-monnaie en créant des NFT malveillants.

Avec cette dernière découverte Rarible, Check Point a déclaré que les attaquants s'appuieraient sur les victimes cliquant sur un lien vers un NFT malveillant, soit en parcourant le marché, soit en recevant le lien.

Le NFT malveillant exécuterait alors du code JavaScript et tenterait d'envoyer une requête setApprovalForAll à la victime, qui soumettrait alors la requête et accorderait un accès complet aux NFT ou aux jetons cryptographiques à l'attaquant.

Vanunu a expliqué qu'il existe encore un "énorme fossé" entre l'infrastructure Web2 et Web3, toute petite vulnérabilité ouvrant une porte dérobée aux cybercriminels pour détourner les portefeuilles cryptographiques dans les coulisses.

"Nous sommes toujours dans un état où les marchés qui combinent les protocoles Web3 manquent d'une pratique de sécurité solide", a-t-il déclaré. «Les implications suite à un piratage cryptographique peuvent être extrêmes. Nous avons vu des millions de dollars détournés d'utilisateurs de places de marché qui combinent des technologies de blockchain."

Check Point a déclaré que les utilisateurs doivent rester prudents et conscients chaque fois qu'ils reçoivent de nouvelles demandes de signature, même sur le marché lui-même, et examiner attentivement ce qui est demandé avant de recevoir une demande.

En cas de doute, il est conseillé aux utilisateurs de rejeter la demande et de l'examiner plus avant avant de fournir une quelconque autorisation. Les approbations de jetons peuvent être examinées et révoquées à l'aide de l'outil d'approbation de jetons Etherscan.

"Actuellement, je m'attends à voir une augmentation continue des vols de crypto-monnaie. Les utilisateurs doivent faire attention », a conseillé Vananu. "Les utilisateurs doivent actuellement gérer deux types de portefeuilles :un pour la plupart de leurs cryptos et un autre uniquement pour des transactions spécifiques.

« Si le portefeuille de transactions spécifiques est compromis, les utilisateurs peuvent toujours être dans une position où ils ne perdent pas tout. Le CPR continuera de rechercher les implications en matière de sécurité de la nouvelle frontière de la technologie blockchain"