یک آسیب‌پذیری بزرگ در بازار NFT رَریبل کشف و برطرف شد

یک آسیب‌پذیری بزرگ در بازار NFT رَریبل کشف و برطرف شد

یک آسیب‌پذیری خطرناک در رَریبل (Rarible)، بازار خریدوفروش توکن‌های غیرمثلی (NFT)، کشف و خنثی شده است. خطرناکی این رخنه امنیتی به حدی بود که احتمال داشت در صورت موفقیت حمله صورت‌گرفته، برخی از کاربران، تمام NFTهای خود را از دست بدهند. بررسی‌ها حاکی از آن است که این حمله با استفاده از یک NFT‌ مخرب در خود بازار رریبل صورت گرفته است.

به گزارش کوین تلگراف،‌ بازوی تحقیقاتی شرکت نرم‌افزار امنیت سایبری چک پوینت (Check Point)، اعلام کرد که موفق به شناسایی یک آسیب‌پذیری در بازار خرید و فروش NFT‌ رَریبل شده است که امنیت دارایی‌های ۲ میلیون کاربر فعال ماهانه این بازار را در معرض خطر قرار داده تا امکان اینکه هر کدام از کاربران، NFT خود را در یک تراکنش از دست دهند، وجود داشته باشد.

چک پوینت یک شرکت امنیت فناوری اطلاعات چندملیتی است که در سال ۱۹۹۳ میلادی (۱۳۷۲ شمسی) تأسیس شد. این شرکت ادعا می‌کند که در اکتبر ۲۰۲۱ (مهرماه ۱۴۰۰) آسیب‌پذیری‌های مخربی در بازار خرید و فروش NFT اوپن‌سی (OpenSea) نیز شناسایی کرده بود.

طبق بررسی‌های کارشناسان چک پوینت، کاشف به عمل آمد که مهاجمان لینک یک NFT را برای کاربران ارسال کرده و در صورتی که کاربر روی «attempts to send a setApprovalForAll request to the victim» در لینک مورد نظر کلیک کند، یک کد جاوا اسکریپت اجرا شده که اختیار حساب کیف پول کاربران در پلتفرم رَریبل را به دست سارقان خواهد سپرد.

طبق اظهار چک پوینت بلافاصله در ۵ آوریل (۱۶ فروردین)، به رریبل درباره این آسیب‌پذیری هشدار داده شده و پلتفرم نیز فوراً این نقص امنیتی را تصدیق و مرتفع کرده است.

همچنین بخوانید: معرفی بزرگ‌ترین بازارهای توکن‌های غیرمثلی (NFT)

در صورتی که مهاجمان موفق می‌شدند از این آسیب‌پذیری سوءاستفاده کنند، قادر به کنترل کامل کیف پول کاربران این پلتفرم و سرقت NFTهای آنها در یک تراکنش بودند. این حمله می‌توانست از طریق یک NFT‌ مخرب در خود این بازار باشد تا کاربران کمتر مشکوک شوند.

سرقت NFT

اودد وانونو (Oded Vanunu)، رئیس تحقیقات آسیب پذیری محصولات در چک پوینت، اعلام کرد که او و تیمش پس از قربانی‌شدن خواننده تایوانی، جی چاو (Jay Chou)، به پیگیری این نوع از کلاهبرداری‌ها علاقه‌مند شدند. توکن غیرمثلی بورد ایپ شماره ۳۷۳۸ این خواننده از طریق تراکنشی شرورانه به سرقت رفت. با وقوع این سرقت انگیزه وانونو و تیم او برای بررسی این آسیب‌پذیری‌ها بیشتر شد. به‌گفته او این سوءاستفاده از رخنه‌های امنیتی در بسیاری از پلتفرم‌های دیگر نیز قابل وقوع است.

رریبل به‌سرعت نقص امنیتی اشاره‌شده را تأیید و با حذف گزینه آپلود فایل «SVG» آن‌ را برطرف کرد و به این ترتیب حمله NFT مخرب ناکام ماند.

وانونو از تخمین ارزش بالقوه سرقتی که با استفاده از این نقص امنیتی اتفاق می‌افتاد خودداری کرد؛ زیرا این حمله می‌توانست برای هر کاربر پلتفرم رخ دهد. قابل ذکر است حمله‌ای مشابه به تنها یک کیف پول متعلق به بنیانگذار «DeFiance Capital Arthur0x» در ماه گذشته، به ازدست‌دادن تقریباً ۶۰۰ اتر (معادل ۱.۸۶ میلیون دلار) منجر شد.

این شرکت امنیتی از کاربران پلتفرم‌های خرید و فروش NFTها خواست که موقع تأیید درخواست‌ها مراقب باشند و در مواقعی که اطمینان ندارند، همه آنها را از طریق ردیاب درخواست اتراسکن (Etherscan) تأیید کنند.

guest

استفاده از کلمات و محتوای توهین‌آمیز و غیراخلاقی به هر شکل و هر شخص ممنوع است.

انتشار هرگونه دیدگاه غیراقتصادی، تبلیغ سایت، تبلیغ صفحات شبکه‌های اجتماعی، قراردادن اطلاعات تماس و لینک‌های نامرتبط غیرمجاز است.

دیدگاه‌هایی که از قوانین فوق تخطی کرده باشند، تأیید نمی‌شوند و حساب کاربران خاطی ممکن است مسدود شود.

در صورت وقوع کلاهبرداری یا فریب، ارزدیجیتال این حق را دارد که از مراجع قضایی پیگیری کند یا با این نهادها همکاری داشته باشد.

0 دیدگاه
ارزهای دیجیتاللیست کامل
اخبار و مقالاتاخبار و مقالات بیشتر
صرافی ارزهای دیجیتالصرافی های بیشتر
دستگاه ماینر ارزهای دیجیتالدستگاه های بیشتر
موردی یافت نشد.