Los investigadores de seguridad cibernética han revelado una falla de seguridad ahora reparada en el mercado de tokens no fungibles (NFT) de Rarible que, si se hubiera explotado con éxito, podría haber llevado a la apropiación de cuentas y al robo de activos de criptomonedas.
«Al atraer a las víctimas para que hagan clic en un NFT malicioso, un atacante puede tomar el control total de la billetera criptográfica de la víctima para robar fondos», dijeron los investigadores de Check Point Roman Zaikin, Dikla Barda y Oded Vanunu. dicho en un informe compartido con The Hacker News.
Rarible, un mercado de NFT que permite a los usuarios crear, comprar y vender arte digital de NFT como fotografías, juegos y memes, tiene más de 2,1 millones de usuarios activos.
«Todavía hay una gran brecha, en términos de seguridad, entre la infraestructura Web2 y Web3», dijo Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point, en un comunicado compartido con The Hacker News.
«Cualquier pequeña vulnerabilidad puede permitir que los delincuentes cibernéticos secuestren billeteras criptográficas detrás de escena. Todavía estamos en un estado en el que los mercados que combinan los protocolos Web3 carecen de una perspectiva de seguridad. Las implicaciones después de un pirateo criptográfico pueden ser extremas».
El modus operandi del ataque depende de que un actor malintencionado envíe un enlace a un NFT no autorizado (por ejemplo, una imagen) a posibles víctimas que, cuando se abre en una nueva pestaña, ejecuta código JavaScript arbitrario, lo que potencialmente permite al atacante obtener un control total sobre sus NFT. enviando una solicitud setApprovalForAll a la billetera.
Él API setApprovalForAll permite que un mercado (en este caso, Rarible) transfiera artículos vendidos desde la dirección del vendedor a la dirección del comprador según el contrato inteligente implementado.
«Esta función es muy peligrosa por diseño porque puede permitir que cualquiera controle sus NFT si lo engañan para que lo firme», señalaron los investigadores.
«No siempre está claro para los usuarios exactamente qué permisos están otorgando al firmar una transacción. La mayoría de las veces, la víctima asume que se trata de transacciones regulares cuando, de hecho, estaban otorgando control sobre sus propios NFT».
Al conceder la solicitud, el esquema fraudulento permite efectivamente que el adversario transfiera todos los NFT de la cuenta de la víctima, que luego el atacante puede vender en el mercado a un precio más alto.
Como medida de seguridad, se recomienda que los usuarios analicen cuidadosamente las solicitudes de transacciones antes de proporcionar cualquier tipo de autorización. Las aprobaciones de tokens anteriores se pueden revisar y revocar visitando el sitio web de Etherscan. Comprobador de aprobación de tokens herramienta.
«Los usuarios de NFT deben tener en cuenta que existen varias solicitudes de billetera; algunas de ellas se usan solo para conectar la billetera, pero otras pueden brindar acceso completo a sus NFT y tokens», dijeron los investigadores.