非洲網絡信息安全生產商Check Point公布匯報稱,世界最大的不可替代代幣總(NFT)銷售市場之一Rarible曝光網絡安全問題,很有可能容許惡意網絡黑客在購買過程中盜取用戶的NFT與加密貨幣。
科學研究工作員表明,互聯網犯罪嫌疑人發覺一種建立惡意NFT的方式。只需點一下惡意NFT連接,網絡攻擊就能良好控制受害者的加密貨幣錢包并盜取錢包中的資產。
Rarible平臺未回應置評要求。據Check Point透露,該服務平臺已經在4月5日的公布表明中認可存有此問題,“堅信Rarible將在下面的新版本中布署修補程序流程。”
Web 3.0基礎設施建設安全性欠缺
Check Point商品系統漏洞科學研究責任人Oded Vanunu表明,她們已經見到許多互聯網犯罪嫌疑人已經偷盜加密貨幣以獲得盈利,這類個人行為在NFT銷售市場上尤其普遍。
Vanunu稱,上年10月,另一家國際性關鍵NFT銷售市場OpenSea曾曝光網絡安全問題,她們恰好是受此啟迪逐漸對Rarible開展調研。在臺灣的超級明星周董埋怨自身的一個NFT失竊,賣掉50萬美金高價位后,她們遭受勉勵更加積極主動調研。
“在穩定性層面,Web 2.0與Web 3.0基礎設施建設中間依然具有較大差別。”Vanunu表明。
“一切一個小系統漏洞都很有可能被互聯網犯罪嫌疑人運用,進而悄悄的挾持用戶的數據加密錢包。從安全性視角看來,大家仍處于一個欠缺統一Web 3.0協議書銷售市場的情況。”
加密貨幣偷盜進攻全過程復原
典型性的Rarible漏洞檢測步驟如下所示:
最先,網絡黑客會向受害者推送一條惡意NFT連接;以后,該惡意NFT會“實行JavaScript編碼,并試著向受害者推送setApprovalForAll要求”。如此一來,受害者將在不經意間回應要求,泄漏自身NFT或加密貨幣的徹底訪問權限。周董就在4月初悲劇變成這一進攻技巧的受害者。那時候他點一下了一個惡意NFT,不經意中讓網絡黑客盜取了他的Bored Ape NFT 3738訪問權限。
Check Point表述稱,“在周董遞交要求將NFT訪問權限泄漏給惡意網絡黑客后,另一方馬上將NFT遷移到了自身的錢包中,接著在銷售市場內以50萬美金價錢賣掉。”
“NFT用戶應當對各種錢包的要求提高警惕,在其中絕大多數僅偏向錢包詳細地址,但還有一些很有可能涉及到對用戶NFT及加密貨幣的徹底訪問權限。”
加密貨幣偷盜猖狂,
用戶需提高警惕
Rarible平臺的月活躍性用戶超出200萬。2021年,該服務平臺匯報的買賣總產量提升2億美金。
Vanunu強調,這類加密貨幣/NFT黑進攻很可能引起極端化危害。
“在根據區塊鏈的市場上,大家已經觀查到使用價值數百萬美元的財產遭遇偷盜。在未來一段時間內,這類加密貨幣偷盜事情很可能還將不斷提升。”
“融合時下實際,用戶理應必須采用2個錢包:一個用以儲存絕大多數加密貨幣,另一個僅用以實際操作每筆特殊買賣。那樣即使涉及到特殊買賣的錢包失竊,用戶的行為主體財產不容易遭受嚴重危害。”
參照由來:therecord.media
世鏈NFT是業內領先的NFT信息資訊平臺,匯集全球NFT行業資訊,覆蓋NFT從創作、發行到實際應用的五大前沿領域,聚焦國內外NFT數字藏品信息、NFT交易平臺,幫助NFT愛好者挖掘投資機會,全方位打造最新、最及時、最全面的NFT資訊平臺。