Descubierta una falla de seguridad en el mercado de NFT Rarible
Un nuevo informe de Check Point Research expone una brecha de seguridad dentro del mercado de NFT (tokens no fungibles) de Rarible. La brecha de seguridad fue informada de inmediato a Rarible, que reconoció e instaló una solución para el problema.
Rarible es una plataforma en línea donde los usuarios pueden crear, comprar o vender NFTs. Tiene más de 2 millones de usuarios registrados y la compañía reportó un volumen de negociación de más de $273 millones en 2021, lo que la convierte en uno de los mayores mercados de NFT en la web.
Brecha de seguridad en Rarible
El Estándar de Token No Fungible, EIP-721, permite la implementación de una API estándar para los NFTs dentro de los contratos inteligentes. El estándar proporciona funcionalidad básica para rastrear y transferir NFTs.
Una de las funciones enumeradas en el estándar se llama setApprovalForAll (Figura A).
Figura A
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelLos investigadores de CheckPoint explicaron que "esta función básicamente designa quién está autorizado para controlar todos tus tokens/NFTs, lo cual está principalmente creado para terceros como Rarible/OpenSea, etc., para controlar los NFTs/tokens en nombre de los usuarios".
Esta función permite a cualquier persona controlar los NFTs de un usuario si ese usuario cae en el engaño y lo firma. Dado que muchos usuarios no comprenden todos los aspectos técnicos de los NFTs, a veces pueden ceder el control de sus NFTs mientras creían que estaban realizando una transacción regular. Los ataques de phishing a veces utilizan este truco de engañar a las víctimas para que hagan lo que parece ser transacciones regulares cuando en realidad están entregando sus NFTs a un atacante. Sin embargo, la situación empeora cuando se trata del propio mercado de NFTs.
La prueba de concepto de este ataque a los NFTs
Los investigadores de CheckPoint decidieron crear un archivo SVG que contenía un carga útil que ejecutaría código Javascript.
Esa carga útil verifica qué NFTs tiene el usuario, utilizando la función tokennfttx de la API de Ethereum. La carga útil luego recorre todos los NFTs, enviando una transacción setApprovalForAll a la billetera (Figura B).
Figura B
Cómo proteger tu computadora de los virus: métodos y consejosSi el usuario hace clic en el botón de confirmación, proporcionarían acceso completo a todos sus NFTs al atacante (Figura C).
Figura C
El atacante luego podría transferir todos los NFTs a su propia cuenta.
Jay Chou tuvo un NFT robado por este ataque
El mismo ataque tuvo éxito contra Jay Chou, un famoso cantante taiwanés, que cayó en el phishing y otorgó acceso completo a su NFT al atacante. Una vez que se proporcionó el acceso, el atacante transfirió un NFT a otra billetera y luego lo vendió en el mercado por cerca de $500,000.
El impacto empresarial de este ataque de robo de NFTs
Hay muchos usos para los NFTs dentro de las empresas, y algunas de ellas se han apresurado a unirse al fenómeno de los NFTs. El uso principal de los NFTs para las empresas es promover marcas mediante la venta de artículos exclusivos a clientes o fans. Algunas empresas también ofrecen NFTs a sus clientes como regalos. Otro uso interesante para la marca es utilizar los NFTs para ayudar a construir nuevas comunidades, en las que los usuarios obtienen valor social por la cantidad de NFTs que poseen.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasLos NFTs también se pueden utilizar como prueba de asistencia a eventos o capacitaciones/certificaciones. Las personas que participan en el evento recibirían un token único como prueba de que realmente han asistido.
Estas empresas generalmente utilizan mercados de NFTs populares para vender o gestionar sus artículos (Figura D), lo que las hace vulnerables al ataque expuesto en este artículo. La cuenta de la empresa podría ser objetivo de ciberdelincuentes en un intento de que la cuenta otorgue acceso completo a todos sus NFTs utilizando el método setApprovalForAll expuesto por CheckPoint y que los tokens sean transferidos a otras billeteras antes de ser vendidos.
Figura D
Cómo proteger tus NFTs de esta amenaza de seguridad
- Los NFTs y las blockchains son complejos para la mayoría de los usuarios, y esa complejidad se debe en su mayoría a que los usuarios no se preocupan realmente por cómo funciona. Esto facilita los ataques y ayuda a los ciberdelincuentes a robar NFTs con unos pocos métodos de ingeniería social. Los usuarios deben leer y comprender más sobre las blockchains y los NFTs, para tener suficientes conocimientos y poder distinguir una estafa de un pedido legítimo.
- Los usuarios siempre deben revisar cuidadosamente cualquier solicitud que reciban y considerar si parece sospechosa o no.
- Si persisten dudas, los usuarios deben rechazar la solicitud o consultar con su departamento de ciberseguridad.
- Los usuarios deben revisar y revocar las aprobaciones de token cuando sea necesario.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Descubierta una falla de seguridad en el mercado de NFT Rarible , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados