Los investigadores de seguridad cibern\u00e9tica han revelado una falla de seguridad ahora reparada en el mercado de tokens no fungibles (NFT) de Rarible que, si se hubiera explotado con \u00e9xito, podr\u00eda haber llevado a la apropiaci\u00f3n de cuentas y al robo de activos de criptomonedas.<\/p>\n
“Al atraer a las v\u00edctimas para que hagan clic en un NFT malicioso, un atacante puede tomar el control total de la billetera criptogr\u00e1fica de la v\u00edctima para robar fondos”, dijeron los investigadores de Check Point Roman Zaikin, Dikla Barda y Oded Vanunu. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Rarible, un mercado de NFT que permite a los usuarios crear, comprar y vender arte digital de NFT como fotograf\u00edas, juegos y memes, tiene m\u00e1s de 2,1 millones de usuarios activos.<\/p>\n “Todav\u00eda hay una gran brecha, en t\u00e9rminos de seguridad, entre la infraestructura Web2 y Web3”, dijo Vanunu, jefe de investigaci\u00f3n de vulnerabilidades de productos en Check Point, en un comunicado compartido con The Hacker News.<\/p>\n “Cualquier peque\u00f1a vulnerabilidad puede permitir que los delincuentes cibern\u00e9ticos secuestren billeteras criptogr\u00e1ficas detr\u00e1s de escena. Todav\u00eda estamos en un estado en el que los mercados que combinan los protocolos Web3 carecen de una perspectiva de seguridad. Las implicaciones despu\u00e9s de un pirateo criptogr\u00e1fico pueden ser extremas”.<\/p>\n El modus operandi del ataque depende de que un actor malintencionado env\u00ede un enlace a un NFT no autorizado (por ejemplo, una imagen) a posibles v\u00edctimas que, cuando se abre en una nueva pesta\u00f1a, ejecuta c\u00f3digo JavaScript arbitrario, lo que potencialmente permite al atacante obtener un control total sobre sus NFT. enviando una solicitud setApprovalForAll a la billetera.<\/p>\n \u00c9l API setApprovalForAll<\/a> permite que un mercado (en este caso, Rarible) transfiera art\u00edculos vendidos desde la direcci\u00f3n del vendedor a la direcci\u00f3n del comprador seg\u00fan el contrato inteligente implementado.<\/p>\n “Esta funci\u00f3n es muy peligrosa por dise\u00f1o porque puede permitir que cualquiera controle sus NFT si lo enga\u00f1an para que lo firme”, se\u00f1alaron los investigadores.<\/p>\n “No siempre est\u00e1 claro para los usuarios exactamente qu\u00e9 permisos est\u00e1n otorgando al firmar una transacci\u00f3n. La mayor\u00eda de las veces, la v\u00edctima asume que se trata de transacciones regulares cuando, de hecho, estaban otorgando control sobre sus propios NFT”.<\/p>\n Al conceder la solicitud, el esquema fraudulento permite efectivamente que el adversario transfiera todos los NFT de la cuenta de la v\u00edctima, que luego el atacante puede vender en el mercado a un precio m\u00e1s alto.<\/p>\n Como medida de seguridad, se recomienda que los usuarios analicen cuidadosamente las solicitudes de transacciones antes de proporcionar cualquier tipo de autorizaci\u00f3n. Las aprobaciones de tokens anteriores se pueden revisar y revocar visitando el sitio web de Etherscan. Comprobador de aprobaci\u00f3n de tokens<\/a> herramienta.<\/p>\n “Los usuarios de NFT deben tener en cuenta que existen varias solicitudes de billetera; algunas de ellas se usan solo para conectar la billetera, pero otras pueden brindar acceso completo a sus NFT y tokens”, dijeron los investigadores.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Notorious-Trickbot-Malware-Gang-cierra-su-infraestructura-de-botnet.png\")
<\/a><\/div>\n<\/a><\/div>\n