您所在的位置: 首頁 >
安全研究 >
安全通告 >
又一家NFT平臺曝出重大漏洞
又一家NFT平臺曝出重大漏洞,Web 3.0安全隱患凸顯
安全廠商Check Point發(fā)現(xiàn),全球主要NFT平臺Rarible存在重大漏洞,用戶點(diǎn)擊惡意NFT鏈接,錢包訪問權(quán)限就會被竊取,資金被盜取;
今年4月,中國臺灣知名藝人周杰倫就遭到類似攻擊,價值50萬美元的NFT失竊;
安全專家稱,在安全性方面,Web 2.0與Web 3.0基礎(chǔ)設(shè)施之間仍然存在巨大差距。
以色列網(wǎng)絡(luò)安全廠商Check Point發(fā)布報告稱,全球最大的不可替代代幣(NFT)市場之一Rarible曝出安全漏洞,可能允許惡意黑客在交易過程中竊取用戶的NFT與加密貨幣。
研究人員表示,網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)一種創(chuàng)建惡意NFT的方法。只要點(diǎn)擊惡意NFT鏈接,攻擊者就能完全控制受害者的加密貨幣錢包并竊取錢包中的資金。
Rarible平臺未回復(fù)置評請求。據(jù)Check Point透露,該平臺已經(jīng)在4月5日的披露說明中承認(rèn)存在此問題,“相信Rarible將在接下來的版本中部署修復(fù)程序。”
Web 3.0基礎(chǔ)設(shè)施安全薄弱
Check Point產(chǎn)品漏洞研究負(fù)責(zé)人Oded Vanunu表示,他們已經(jīng)看到不少網(wǎng)絡(luò)犯罪分子正在盜竊加密貨幣以獲取利潤,這類行為在NFT市場上尤為常見。
Vanunu稱,去年10月,另一家國際主要NFT市場OpenSea曾曝出安全漏洞,他們正是受此啟發(fā)開始對Rarible進(jìn)行調(diào)查。在中國臺灣的超級巨星周杰倫抱怨自己的一個NFT被盜,賣出50萬美元高價后,他們受到鞭策愈加積極調(diào)查。
“在安全性方面,Web 2.0與Web 3.0基礎(chǔ)設(shè)施之間仍然存在巨大差距?!盫anunu表示。
“任何一個小漏洞都可能被網(wǎng)絡(luò)犯罪分子利用,從而悄悄劫持用戶的加密錢包。從安全角度來看,我們?nèi)蕴幵谝粋€缺乏統(tǒng)一Web 3.0協(xié)議市場的狀態(tài)。”
加密貨幣盜竊攻擊過程
還原典型的Rarible漏洞利用流程如下:
? 首先,黑客會向受害者發(fā)送一條惡意NFT鏈接;
? 之后,該惡意NFT會“執(zhí)行JavaScript代碼,并嘗試向受害者發(fā)送setApprovalForAll請求”。
? 如此一來,受害者將在無意間回復(fù)請求,泄露自己NFT或加密貨幣的完全訪問權(quán)限。
周杰倫就在4月初不幸成為這一攻擊手法的受害者。當(dāng)時他點(diǎn)擊了一個惡意NFT,無意中讓黑客竊取了他的Bored Ape NFT 3738訪問權(quán)限。
Check Point解釋稱,“在周杰倫提交請求將NFT訪問權(quán)限泄露給惡意黑客后,對方立即將NFT轉(zhuǎn)移到了自己的錢包中,隨后在市場上以50萬美元價格賣出?!?/span>
“NFT用戶應(yīng)該對各類錢包的請求保持警惕,其中大部分僅指向錢包地址,但也有一些可能涉及對用戶NFT及加密貨幣的完全訪問權(quán)限?!?/span>
加密貨幣盜竊猖獗,用戶需保持警惕
Rarible平臺的月活躍用戶超過200萬。2021年,該平臺報告的交易總量突破2億美元。
Vanunu指出,這類加密貨幣/NFT黑攻擊很可能引發(fā)極端影響。
“在基于區(qū)塊鏈技術(shù)的交易市場上,我們已經(jīng)觀察到價值數(shù)百萬美元的資產(chǎn)慘遭盜竊。在未來一段時期內(nèi),這類加密貨幣盜竊事件很可能還將持續(xù)增加?!?/span>
“結(jié)合當(dāng)下現(xiàn)實(shí),用戶應(yīng)當(dāng)需要使用兩個錢包:一個用于存儲大部分加密貨幣,另一個僅用于操作單筆特定交易。這樣即使涉及特定交易的錢包被盜,用戶的主體資產(chǎn)不會受到致命影響?!?/span>
參考來源:therecord.media
原文來源:安全內(nèi)參