Kritische Sicherheitslücke auf dem NFT-Marktplatz Rarible entdeckt

Forscher haben eine Sicherheitslücke im NFT-Marktplatz Rarible entdeckt, die zum Diebstahl von Krypto-Geldbörsen hätte führen können.

Bei Ausnutzung hätte die Schwachstelle es einem Angreifer ermöglicht, die NFTs und Kryptowährungs-Wallets eines Benutzers in einer einzigen Transaktion zu stehlen.

Forscher von CheckPoint sagten, dass ein erfolgreicher Angriff von einem böswilligen NFT auf dem Marktplatz von Rarible ausgegangen wäre, wo die Leute weniger misstrauisch und mit der Übermittlung von Transaktionen vertraut sind. Zum Vergleich:Die Plattform verzeichnete im vergangenen Jahr ein Handelsvolumen von 273 Millionen US-Dollar und verfügt über mehr als zwei Millionen aktive Nutzer pro Monat – was sie zu einem der größten NFT-Marktplätze der Welt macht.

Die Ergebnisse wurden am 5. April sofort Rarible mitgeteilt, das die Sicherheitslücke einräumte. Check Point geht davon aus, dass das Unternehmen bis zum Zeitpunkt der Veröffentlichung einen Fix bereitgestellt haben wird.

„CPR hat erhebliche Ressourcen in die Untersuchung der Schnittmenge von Krypto und Sicherheit investiert“, kommentierte Oded Vanunu, Leiter der Abteilung „Products Vulnerabilities Research“ bei Check Point Software. insbesondere NFT-Marktplätze.

„Im Oktober letzten Jahres entdeckten wir kritische Sicherheitslücken in OpenSea, dem weltweit größten NFT-Marktplatz. Jetzt haben wir ähnliche Schwachstellen in Rarible identifiziert.“

Ohne Patch hätten diese kritischen Sicherheitslücken, die in OpenSea gefunden wurden, Hackern ermöglichen können, Benutzerkonten zu kapern und ganze Kryptowährungs-Wallets zu stehlen, indem sie bösartige NFTs erstellten.

Bei diesem neuesten Rarible-Fund sagte Check Point, dass sich Angreifer darauf verlassen würden, dass Opfer auf einen Link zu einem bösartigen NFT klicken, entweder durch Durchsuchen des Marktplatzes oder Empfangen des Links.

Das böswillige NFT würde dann JavaScript-Code ausführen und versuchen, eine setApprovalForAll-Anforderung an das Opfer zu senden, das dann die Anforderung übermittelt und dem Angreifer vollen Zugriff auf die NFTs oder Krypto-Token gewährt.

Vanunu erklärte, dass es immer noch eine „große Lücke“ zwischen der Web2- und der Web3-Infrastruktur gibt, wobei jede kleine Schwachstelle Cyberkriminellen eine Hintertür öffnet, um Krypto-Wallets hinter den Kulissen zu kapern.

„Wir befinden uns immer noch in einem Zustand, in dem Marktplätzen, die Web3-Protokolle kombinieren, eine solide Sicherheitspraxis fehlt“, sagte er. „Die Auswirkungen nach einem Krypto-Hack können extrem sein. Wir haben gesehen, wie Millionen von Dollar von Benutzern von Marktplätzen entführt wurden, die Blockchain-Technologien kombinieren.“

Laut Check Point sollten Benutzer vorsichtig und bewusst bleiben, wenn sie neue Anfragen zum Signieren erhalten, sogar innerhalb des Marktplatzes selbst, und genau prüfen, was angefordert wird, bevor sie eine Anfrage erhalten.

Im Zweifelsfall wird den Benutzern empfohlen, die Anfrage abzulehnen und weiter zu prüfen, bevor sie eine Genehmigung erteilen. Token-Genehmigungen können mit dem Etherscan-Token-Genehmigungstool überprüft und widerrufen werden.

„Derzeit rechne ich mit einer anhaltenden Zunahme von Kryptowährungsdiebstählen. Benutzer müssen aufpassen“, riet Vananu. „Benutzer müssen derzeit zwei Arten von Brieftaschen verwalten:eine für den größten Teil ihrer Krypto und eine andere nur für bestimmte Transaktionen.

„Sollte die Brieftasche für bestimmte Transaktionen kompromittiert werden, können Benutzer immer noch in einer Position sein, in der sie nicht alles verlieren. CPR wird weiterhin die Auswirkungen der neuen Grenzen der Blockchain-Technologie auf die Sicherheit untersuchen.“