Поделиться
Хакеры придумали, как красть с маркетплейсов NFT и криптовалюты разом
Эксперты Check Point, пронаблюдав кражу NFT-токенов с криптомаркета OpenSea, проверили другую платформу и обнаружили те же архитектурные уязвимости. Исправления уже должны быть внесены.
Одним махом
В программном обеспечении одного из крупнейших NFT-маркетплейсов Rarible обнаружилась уязвимость, которая позволяет злоумышленникам красть «NFT и криптотокены пользователя одной транзакцией». Злоумышленники нашли способ создавать вредоносные NFT, которые позволяют брать под контроль криптокошельки жертв и красть с них средства. Жертве достаточно будет попытаться открыть такой NFT.
Проблему выявили эксперты компании Check Point. Как написал глава по исследованию продуктовых уязвимостей Одед Вануну (Oded Vanunu), он и его коллеги решили изучить инфраструктуру Rarible после обнаружения серьезной уязвимости в другом крупном NFT-маркетплейсе — OpenSea. Еще одним поводом стала кража чрезвычайно дорогостоящего NFT-токена у тайванского певца Джея Чжоу (Jay Chou). Судя по всему, токен был украден как раз из OpenSea и позднее перепродан за $500 тыс.
Информация об уязвимости была передана в Rarible в начале апреля 2022 г. Администраторы платформы сразу же подтвердили справедливость подозрений CheckPoint; ожидается, что исправления будут внесены в ближайшие дни, если их уже не выпустили.
Аудитория Rarible составляет около двух миллионов активных пользователей в месяц. Совокупные обороты достигли в 2021 г. $273 млн.
Эксперты наблюдают нарастающее количество краж криптовалютных активов и NFT. Стоимость и тех, и других может быть очень высока. Некоторые коллекции NFT-токенов стоят миллионы. Неудивительно, что злоумышленники пытаются поживиться за счет этих активов.
Фишинг всему голова
Типичная атака начинается с фишинга — жертве отправляют ссылку на скомпрометированный NFT, который при открытии запускает код на Java Script и отправляет жертве запрос setApprovalForAll, открывающий доступ ко всем ее ресурсам. Если по каким-то причинам жертва одобряет этот запрос, все ее NFT и криптоактивы оказываются под контролем хакера. Именно это и произошло с Чжоу, лишившегося в итоге одного из самых ценных своих NFT-активов, относящегося к коллекции Bored Ape.
Выяснилось, что владельцы активов на Rarible рискуют пострадать так же, как Чжоу. Уязвимость, которой воспользовались хакеры при атаке на OpenSea, характерна и для Rarible: с помощью одной транзакции злодеи могут увести и NFT-активы, и криптовалюты.
«По большому счету, речь идет прежде всего о достаточно банальном фишинге, а потом уж о защите NFT-платформ, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Впрочем, с архитектурной точки зрения злоумышленники не должны иметь возможность получать доступ одновременно ко всем криптоактивам отдельно взятого пользователя, нужны разделение и изоляция кошельков с NFT и валютами. Один ключ не должен подходить более чем к одному замку».
Короткая ссылка
