Un potenziale difetto di sicurezza importante è stato scoperto in Rarible, un popolare mercato di token non fungibili (NFT), che potrebbe portare gli utenti a perdere non solo i loro NFT, ma anche le criptovalute direttamente dai loro portafogli.
Un rapporto di Check Point Research (CPR) ha identificato una vulnerabilità che consentirebbe a un potenziale aggressore di rubare le risorse digitali di qualcuno in un'unica transazione. La cosa peggiore è che tutto accadrebbe nel mercato stesso, un luogo in cui le persone in generale si sentirebbero meno sospettose.
Secondo il rapporto CPR, la metodologia è semplice e include la creazione di un "NFT dannoso". Se qualcuno si imbattesse in esso e facesse clic su di esso, l'NFT dannoso eseguirà codice JavaScript per provare a inviare una richiesta setApprovalForAll alla vittima.
NFT dannosi
Se la vittima invia le richieste, concederà all'NFT dannoso l'accesso completo al tuo endpoint.
“Nell'ottobre dello scorso anno abbiamo scoperto vulnerabilità di sicurezza critiche in OpenSea, il più grande mercato NFT del mondo. Ora abbiamo identificato vulnerabilità simili in Rarible", ha affermato Oded Vanunu, Head of Product Vulnerability Research presso Check Point Software.
“In termini di sicurezza, c'è ancora un grande divario tra le infrastrutture Web2 e Web3. Qualsiasi piccola vulnerabilità apre una backdoor ai criminali informatici per dirottare i portafogli crittografici dietro le quinte. Siamo ancora in uno stato in cui i mercati che combinano i protocolli Web3 mancano di una solida pratica di sicurezza. Le implicazioni che seguono un hack crittografico possono essere estreme. Abbiamo visto milioni di dollari sottratti agli utenti di mercati che combinano tecnologie blockchain.
L'anno scorso, Rarible ha avuto un volume di scambi di oltre 273 milioni di euro, rendendolo uno dei più grandi mercati NFT del pianeta.
La società ha informato il mercato della sua scoperta, affermando che "crede che Rarible avrà una soluzione entro il momento di questa pubblicazione". Abbiamo contattato Rarible per vedere se è effettivamente così e aggiorneremo l'articolo di conseguenza.
Tuttavia, dato che è il fine settimana di Pasqua, potrebbero passare alcuni giorni prima di avere notizie di Rarible.
"Attualmente, gli utenti devono gestire due tipi di portafogli: uno per la maggior parte delle loro criptovalute e uno solo per transazioni specifiche", ha continuato Vanunu.
"Se il portafoglio per transazioni specifiche viene compromesso, gli utenti potrebbero trovarsi ancora in una posizione in cui non perdono tutto".