Les chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e sur le march\u00e9 des jetons non fongibles Rarible (NFT) qui, si elle \u00e9tait exploit\u00e9e avec succ\u00e8s, aurait pu entra\u00eener la prise de contr\u00f4le de compte et le vol d’actifs de crypto-monnaie.<\/p>\n
“En incitant les victimes \u00e0 cliquer sur un NFT malveillant, un attaquant peut prendre le contr\u00f4le total du portefeuille cryptographique de la victime pour voler des fonds”, ont d\u00e9clar\u00e9 les chercheurs de Check Point, Roman Zaikin, Dikla Barda et Oded Vanunu. mentionn\u00e9<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n Rarible, un march\u00e9 NFT qui permet aux utilisateurs de cr\u00e9er, d’acheter et de vendre de l’art num\u00e9rique NFT comme des photographies, des jeux et des m\u00e8mes, compte plus de 2,1 millions d’utilisateurs actifs.<\/p>\n “Il y a encore un \u00e9norme foss\u00e9 entre, en termes de s\u00e9curit\u00e9, entre l’infrastructure Web2 et Web3”, a d\u00e9clar\u00e9 Vanunu, responsable de la recherche sur les vuln\u00e9rabilit\u00e9s des produits chez Check Point, dans un communiqu\u00e9 partag\u00e9 avec The Hacker News.<\/p>\n “Toute petite vuln\u00e9rabilit\u00e9 peut \u00e9ventuellement permettre aux cybercriminels de d\u00e9tourner des portefeuilles cryptographiques dans les coulisses. Nous sommes toujours dans un \u00e9tat o\u00f9 les places de march\u00e9 qui combinent les protocoles Web3 font d\u00e9faut du point de vue de la s\u00e9curit\u00e9. Les implications suite \u00e0 un piratage cryptographique peuvent \u00eatre extr\u00eames.”<\/p>\n Le mode op\u00e9ratoire de l’attaque repose sur un acteur malveillant envoyant un lien vers un NFT escroc (par exemple, une image) \u00e0 des victimes potentielles qui, lorsqu’il est ouvert dans un nouvel onglet, ex\u00e9cute un code JavaScript arbitraire, permettant potentiellement \u00e0 l’attaquant d’obtenir un contr\u00f4le total sur ses NFT. en envoyant une requ\u00eate setApprovalForAll au portefeuille.<\/p>\n Le API setApprovalForAll<\/a> permet \u00e0 une place de march\u00e9 (dans ce cas, Rarible) de transf\u00e9rer les articles vendus de l’adresse du vendeur \u00e0 l’adresse de l’acheteur en fonction du contrat intelligent mis en \u0153uvre.<\/p>\n “Cette fonction est tr\u00e8s dangereuse de par sa conception car elle peut permettre \u00e0 n’importe qui de contr\u00f4ler vos NFT si vous \u00eates amen\u00e9 \u00e0 le signer”, ont soulign\u00e9 les chercheurs.<\/p>\n “Les utilisateurs ne savent pas toujours exactement quelles autorisations ils accordent en signant une transaction. La plupart du temps, la victime suppose qu’il s’agit de transactions r\u00e9guli\u00e8res alors qu’en fait, elle donnait le contr\u00f4le de ses propres NFT.”<\/p>\n En acc\u00e9dant \u00e0 la demande, le stratag\u00e8me frauduleux permet effectivement \u00e0 l’adversaire de transf\u00e9rer tous les NFT du compte de la victime, qui peuvent ensuite \u00eatre vendus par l’attaquant sur le march\u00e9 \u00e0 un prix plus \u00e9lev\u00e9.<\/p>\n Par mesure de s\u00e9curit\u00e9, il est recommand\u00e9 aux utilisateurs d’examiner attentivement les demandes de transaction avant de fournir tout type d’autorisation. Les approbations de jetons pr\u00e9c\u00e9dentes peuvent \u00eatre examin\u00e9es et r\u00e9voqu\u00e9es en visitant Etherscan V\u00e9rificateur d’approbation de jeton<\/a> outil.<\/p>\n “Les utilisateurs de NFT doivent \u00eatre conscients qu’il existe diverses demandes de portefeuille – certaines d’entre elles sont utilis\u00e9es uniquement pour connecter le portefeuille, mais d’autres peuvent fournir un acc\u00e8s complet \u00e0 leurs NFT et Tokens”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/images\/-HgiHdbUpRRQ\/YVHQqGahs-I\/AAAAAAAA4Zw\/NYGHBa999kAbbWpf3DZihmdmxCK2WjzgwCLcBGAsYHQ\/s300-e100\/rewind-2-300.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n