Η Check Point Research (CPR) εντόπισε ένα ελάττωμα ασφαλείας στο Rarible, την αγορά NFT με πάνω από δύο εκατομμύρια ενεργούς χρήστες. Σε περίπτωση που κάποιοι το είχαν εκμεταλλευτεί, η ευπάθεια θα είχε επιτρέψει την κλοπή των NFT και των crypto token ενός χρήστη σε μία μόνο συναλλαγή. Η CPR ενημέρωσε αμέσως το Rarible για τα ευρήματα, το οποίο και αναγνώρισε το ελάττωμα ασφαλείας. Οι αποκαλύψεις της CPR σηματοδοτούν τη δεύτερη ανακάλυψη ελαττώματος ασφαλείας των ερευνητών της σε ένα NFT marketplace. Τον Οκτώβριο του 2021, η CPR είχε εντοπίσει ζητήματα ασφάλειας στο OpenSea, τη μεγαλύτερη αγορά NFT στον κόσμο. Κίνητρo για την έρευνα της CPR για τον Rarible στάθηκε μια παρόμοια επίθεση στον Jay Chou, έναν διάσημο Ταϊβανέζο τραγουδιστή, του οποίου το NFT κλάπηκε και πουλήθηκε για 500.000$.
- Μια επιτυχημένη επίθεση θα προερχόταν από ένα κακόβουλο NFT εντός του ίδιου του Rarible, όπου οι χρήστες είναι λιγότερο καχύποπτοι και εξοικειωμένοι με την υποβολή συναλλαγών
- Η εκμετάλλευση ξεκινά όταν ένα θύμα λαμβάνει έναν σύνδεσμο προς το κακόβουλο NFT, τον οποίο στη συνέχεια επισκέπτεται με ένα κλικ
- Η CPR προειδοποιεί ότι θα συνεχίσουμε να παρακολουθεί τις κλοπές crypto wallet σε όλο τον κόσμο και μοιράζεται τέσσερις συμβουλές ασφάλειας
Το 2021, η Rarible παρουσίασε όγκο συναλλαγών άνω των 273 εκατομμυρίων δολαρίων μέσα στο 2021, γεγονός που την κατέστησε μία από τις μεγαλύτερες αγορές NFT στον κόσμο.
Μεθοδολογία της Επίθεσης
Η CPR περιέγραψε τη μέθοδο επίθεσης, ως εξής:
- Το θύμα λαμβάνει έναν σύνδεσμο προς το κακόβουλο NFT ή κατά την περιήγησή του στο marketplace κάνει κλικ σε αυτόν.
- Το κακόβουλο NFT εκτελεί κώδικα JavaScript και επιχειρεί να στείλει ένα αίτημα setApprovalForAll στο θύμα.
- Το θύμα υποβάλλει το αίτημα και παραχωρεί στον εισβολέα πλήρη πρόσβαση σε αυτό το NFT/Crypto Token .
Τα Κίνητρα της Έρευνας
Την 1η Απριλίου, η CPR έγινε μάρτυρας μιας παρόμοιας επίθεσης στον διάσημο Ταϊβανέζο τραγουδιστή, Jay Chou, τον οποίο ξεγέλασαν και υπέβαλε μια συναλλαγή που οδήγησε στην κλοπή του BoardAppe NFT 3738 που του άνηκε και το οποίο πουλήθηκε αργότερα στην αγορά για 500.000$. Το γεγονός αυτό προκάλεσε το ενδιαφέρον της CPR, καθώς το θύμα αυτής της μεθόδου μπορεί να είναι οποιοσδήποτε κάτοχος crypto/NFT. Η CPR ξεκίνησε άμεσα διεξοδική έρευνα για το Rarible με κίνητρο την αποτροπή της κατάληψης ενός λογαριασμού και της κλοπής κρυπτονομισμάτων. Τα τρέχοντα ευρήματα της CPR βασίζονται σε προηγούμενη έρευνα τον Οκτώβριο του 2021, όπου βρήκαν σημαντικά ελαττώματα ασφάλειας στο OpenSea, τη μεγαλύτερη αγορά NFT στον κόσμο. Αν έμεναν χωρίς επιδιόρθωση, τα τρωτά σημεία που ανακαλύφθηκαν στην πλατφόρμα του OpenSea θα μπορούσαν να επιτρέψουν στους χάκερ να κλέβουν λογαριασμούς χρηστών και ολόκληρα πορτοφόλια κρυπτονομισμάτων δημιουργώντας κακόβουλα NFT.
Responsible Disclosure
Η CPR αποκάλυψε τα ευρήματά της στο Rarible την Τρίτη, 5 Απριλίου 2022, το οποίο αναγνώρισε το ελάττωμα ασφαλείας. Η CPR θεωρεί πως το Rarible θα έχει προχωρήσει σε επιδιόρθωση μέχρι αυτή τη δημοσίευση.
Σχόλιο του Oded Vanunu, Head of Products Vulnerabilities Research στην Check Point Software:
“Στη CPR έχουμε επενδύσει σημαντικούς πόρους στην έρευνα σχετικά με την κρυπτογράφηση και την ασφάλεια. Αυτό που παρατηρούμε είναι σοβαρές προσπάθειες από εγκληματίες του κυβερνοχώρου να ληστέψουν κρυπτονομίσματα και να αποκομίσουν μεγάλα κέρδη ειδικά από αγορές NFT. Τον περασμένο Οκτώβριο, ανακαλύψαμε κρίσιμα ελαττώματα ασφαλείας στο OpenSea , την μεγαλύτερη αγορά NFT στον κόσμο. Τώρα, εντοπίσαμε παρόμοιες ευπάθειες στο Rarible. Όσον αφορά στην ασφάλεια, εξακολουθεί να υπάρχει ένα τεράστιο χάσμα μεταξύ της υποδομής Web2 και Web3. Οποιαδήποτε μικρή ευπάθεια ανοίγει μια κερκόπορτα στους εγκληματίες του κυβερνοχώρου και τους επιτρέπει να καταλάβουν crypto wallets στο παρασκήνιο. Παραμένουμε σε μια κατάσταση όπου οι αγορές που συνδυάζουν πρωτόκολλα Web3 στερούνται ουσιαστικής πρακτικής ασφάλειας. Οι συνέπειες μιας παραβίασης κρυπτογράφησης μπορεί να είναι ακραίες. Έχουμε δει εκατομμύρια δολάρια να έχουν κλαπεί από χρήστες αγορών που συνδυάζουν τεχνολογίες blockchain. Επί του παρόντος, αναμένω μια συνεχή αύξηση στις κλοπές κρυπτονομισμάτων. Οι χρήστες πρέπει να δώσουν προσοχή. Προς το παρόν πρέπει να διαχειριστούν δύο τύπους πορτοφολιών: ένα για το μεγαλύτερο μέρος της κρυπτογράφησης τους και ένα άλλο μόνο για συγκεκριμένες συναλλαγές. Σε περίπτωση που το πορτοφόλι για συγκεκριμένες συναλλαγές παραβιαστεί, οι χρήστες δεν χάνουν τα πάντα. Στη CPR θα συνεχίσουμε να ερευνούμε τις επιπτώσεις που έχει στην ασφάλεια το νέο σύνορο της τεχνολογίας blockchain”
Συμβουλές Ασφαλείας
- Η CPR συνιστά να είστε προσεκτικοί κάθε φορά που λαμβάνετε αιτήματα για υπογραφή ακόμη και μέσα στο ίδιο το marketplace.
- Πριν από την έγκριση ενός αιτήματος, οι χρήστες θα πρέπει να εξετάσουν προσεκτικά αυτό που τους ζητείται και να εξετάσουν εάν το αίτημα φαίνεται αφύσικο ή ύποπτο.
- Εάν έχουν αμφιβολίες, συνιστάται στους χρήστες να απορρίψουν το αίτημα και να το εξετάσουν περαιτέρω πριν από την παροχή οποιουδήποτε είδους εξουσιοδότησης.
- Συνιστάται στους χρήστες να ελέγχουν και να ανακαλούν τις εγκρίσεις tokens από αυτόν τον σύνδεσμο: https://etherscan.io/tokenapprovalchecker
