Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Уязвимость в NFT-маркетплейсе Rarible позволяет похищать криптовалюту

18/04/22

RaribleСпециалисты ИБ-компании Check Point обнаружили неисправленную уязвимость в NFT-маркетплейсе Rarible, позволяющую захватывать чужие учетные записи и похищать криптовалютные активы. Злоумышленник может обманом заставить жертву нажать на вредоносный NFT и получить контроль над ее криптовалютным кошельком.

Rarible – торговая площадка, позволяющая создавать, покупать и продавать произведения NFT-искусства, в том числе фотографии, игры и мемы. Маркетплейс насчитывает более 1,2 млн активных пользователей.

Злоумышленник может отправить жертве ссылку на вредоносное NFT-изображение, которое после открытия в новой вкладке выполняет JavaScript-код, позволяющий получить полный контроль над ее NFT путем отправки на кошелек запроса setApprovalForAll.

SetApprovalForAll API позволяет торговым площадкам (в данном случае Rarible) передавать проданные токены с адреса продавца на адрес покупателя на основе реализованного смарт-контракта.

«Это очень опасная функция, поскольку может позволить получить контроль над вашими NFT любому, кто сможет заставить вас подписать сделку. Пользователи не всегда понимают, какие именно разрешения они дают, подписывая транзакцию. В большинстве случаев жертва думает, что это обычная транзакция, когда на самом деле она отдает контроль над собственными NFT», – пояснили исследователи.

Уязвимость потенциально затрагивает только пользователей, добровольно согласных покинуть сайт Rarible.com, перейти на сторонний ресурс с вредоносным контентом и подписать предложенную там транзакцию. Простого нажатия жертвой на ссылку недостаточно, нужно еще, чтобы она подтвердила транзакцию.

Темы:криптовалютыУгрозыCheck PointNFT
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...