Fungible olmayan tokenlar (NFT) için popüler bir pazar yeri olan Rarible’da, kullanıcıların yalnızca NFT’lerini değil, aynı zamanda cüzdanlarından kripto para birimlerini de kaybetmelerine yol açabilecek potansiyel olarak büyük bir güvenlik açığı keşfedildi.
Check Point Research’ten (CPR) bir rapor, potansiyel bir saldırganın tek bir işlemde birinin dijital eşyalarını çalmasına izin verecek bir güvenlik açığı tespit etti. En kötü yanı, her şeyin pazaryerinde, insanların genellikle daha az şüphe duyacağı bir yerde gerçekleşmesidir.
CPRs raporuna göre, metodoloji basittir ve “kötü amaçlı NFT” oluşturmayı içerir. Birisi buna rastlar ve üzerine tıklarsa, kötü niyetli NFT, kurbana bir setApprovalForAll isteği göndermek amacıyla JavaScript kodunu yürütür.
Kötü Amaçlı NFT’ler
Kurbanın istekleri göndermesi durumunda, kötü niyetli NFT’ye uç noktalarına tam erişim izni verirler.
“Geçen yıl Ekim ayında, dünyanın en büyük NFT pazarı olan OpenSea’de kritik güvenlik açıkları keşfettik. Şimdi, Rarible’da benzer güvenlik açıkları tespit ettik,” dedi Check Point Software Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu.
“Güvenlik açısından, Web2 ve Web3 altyapısı arasında hala büyük bir boşluk var. Herhangi bir küçük güvenlik açığı, siber suçluların perde arkasında kripto cüzdanlarını ele geçirmesi için bir arka kapı açar. Hala Web3 protokollerini birleştiren pazar yerlerinin sağlam bir güvenlik uygulamasından yoksun olduğu bir durumdayız. Bir kripto hackini takip eden sonuçlar aşırı olabilir. Blockchain teknolojilerini birleştiren pazaryerlerinin kullanıcılarından kaçırılan milyonlarca dolar gördük.”
Geçen yıl, Rarible 273 milyon dolardan fazla işlem hacmine sahip oldu ve bu da onu gezegendeki en büyük NFT pazarlarından biri haline getirdi.
Şirket, keşfini pazara bildirdi ve “Rarible’ın bu yayının yayınlandığı tarihte bir düzeltme dağıtacağına inandığını” söyledi. Durumun gerçekten böyle olup olmadığını görmek için Rarible’a ulaştık ve makaleyi buna göre güncelleyeceğiz.
Ancak Paskalya hafta sonu olduğu için Rarible’dan haber almamız birkaç gün sürebilir.
Vanunu, “Kullanıcıların şu anda iki tür cüzdanı yönetmesi gerekiyor: biri kripto paralarının çoğu için ve diğeri sadece belirli işlemler için.”
“Belirli işlemler için cüzdan tehlikeye girerse, kullanıcılar hala her şeyi kaybetmeyecekleri bir konumda olabilirler.”