חולשת אבטחה התגלתה באחת מזירות מסחר ה-NFT הגדולות בעולם

חוקרי הגנת הסייבר של צ'ק פוינט (Check Point), דיקלה ברדה ורומן זאיקין, איתרו פרצת אבטחה חמורה בזירת מסחר ה-NFT השנייה בגודלה בעולם כיום רריבל (Rarible), אשר לה שני מיליון משתמשים חודשיים, ושרשמה מסחר בהיקף של 273 מיליון דולר ב-2021. הפרצה אפשרה להאקרים להשתלט על ארנקי מטבעות קריפטו ועל יצירות דיגיטליות בפעולה אחת בלבד.

בשבוע שעבר פורסמה גניבת NFT של זמר מפורסם מטייוואן בשם ג'יי צ'ו, ומכירתו ב-500 אלף דולר על ידי ההאקרים. לאחר הפרסום החלו החוקרים לחקור את הפלטפורמה וניסו לאתר את מקור הפריצה. הבדיקה מצאה חולשה חמורה המבוססת על שליחת לינק NFT, ועליו נוזקה בפלטפורמת המסחר עצמה. החולשה עבדה כך שכל מה שהתוקף צריך לעשות הוא לשלוח לקורבן NFT אשר מכיל קוד זדוני, והוא מאפשר לעקוף את מערכות האבטחה בפלטפורמה היישר אל ארנק היצירות של הקורבן. למעשה, במילים פשוטות, ברגע שהקורבן פותח את ה-NFT הזדוני, התוקף מקבל גישה מלאה לארנק היצירות של הקורבן ובכך יכול לגנוב את תכולתו המלאה. 

צ'ק פוינט דיווחה על החולשה לרריבל וקישרה אותה לתקיפות האחרונות, ואלו אישרו את דבר החולשה ותיקנו אותה.

דווחה על הפרמצה וחסמה אותה. רריבל.

המלצה: להחזיק שני ארנקים דיגיטליים

עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט, שערכה את המחקר: "אנו עוקבים בחודשים האחרונים אחר זירות מסחר הקריפטו בכלל, ו-NFT בפרט, ורואים שהעניין הגובר סביבן מלווה בסדרה של תקיפות אפקטיביות, שמובילות לאובדן מיליוני דולרים. העובדה שמדובר בפלטפורמות טכנולוגיות יחסית צעירות, שבמקרים רבים לא מקפידות על רמת אבטחה מספקת, מאפשרת להרחיב את היקפי התקיפות לסחר חליפין חדש המגלגל מאות מיליוני דולרים. בזירות כאלו, המבוססות על ה-WEB 0.3, גם חולשה יחסית פשוטה יכולה להוביל להשתלטות מוחלטת על חשבון. אם כל העוסקים בדבר לא יקפידו על רמת אבטחה נדרשת – אנחנו נראה גניבות בהיקפים חסרי תקדים של אנשים שעוברים למסחר קריפטו ולא מבינים את רמת החשיפה שלהם. אנחנו ממליצים למי שסוחר ב-NFT ובקריפטו להגביר את תשומת הלב ולנהל שני ארנקים למסחר: אחד עם מטבעות הקריפטו שלכם ואחר עבור פעולות ספציפיות. אל תשימו את כל הביצים בסל אחד. כך, אם ארנק הפעולות נפרץ, לא איבדתם את הכל".

צ'ק פוינט פרסמה גם טיפים למסחר בטוח בזירות NFT, וציינה כי: "אנו ממליצים למשתמשים לנקוט במשנה זהירות כאשר הם מאשרים בקשות ברשת. מרבית הבקשות הן לגיטימיות, אך מספיקה בקשה זדונית אחת כדי שהתוקף יקבל גישה לכל היצירות והכסף הדיגיטלי שלכם"

עוד המליצו בחברת האבטחה: "לפני אישור בקשות על ידי הארנק שלכם, על המשתמשים לבדוק היטב את הבקשה ולהבין מה בדיוק היא מבקשת, ולשקול אם הבקשה נראית חריגה או חשודה. אם יש ספקות, מומלץ למשתמשים לדחות את הבקשה ולבחון אותה עוד לפני מתן הרשאה כלשהי".

צ'ק פוינט סיפקה כתובת שדרכה תוכלו לבדוק למי נתתם גישה לארנק שלכם: https://etherscan.io/tokenapprovalchecker.