Техническая уязвимость, в случае эксплуатации, позволила бы злоумышленникам украсть NFT и криптовалюту всего через одну транзакцию
Клиенты NFT-маркетплейса Rarible уязвимы к атакам через скрипты JavaScript, которые могут привести к краже не только цифровых коллекционных предметов, но и криптовалюты. Об этом у себя в блоге сообщили исследователи IT-компании CheckPoint.
Согласно опубликованной информации, злоумышленники рассылают клиентам Rarible ссылки якобы на NFT-токены. При просмотре токена запускается код на JavaScript, с помощью которого мошенники запрашивают выполнение функции «setApprovalForAll». Если жертва дает разрешение, злоумышленники могут в рамках всего одной транзакции украсть все активы с кошелька. По утверждению CheckPoint, руководство Rarible уже закрыло уязвимость.
О похожем сценарии кражи редакция BeInCrypto уже писала ранее. Тогда сообщалось, что под удар попал пользователь маркетплейса OpenSea. В рамках атаки злоумышленники похитили и перепродали NFT стоимостью в 200 ETH.
Читайте также: Обзор NFT-маркетплейса с российскими корнями Rarible и его токена RARI
Также редакция сообщала, что против OPENSEA подали сразу несколько исков из-за неспособности торговой площадки помешать несанкционированной продаже NFT. Как утверждает защита пострадавших, злоумышленники воспользовались уязвимостью в системе безопасности OpenSea, чтобы понизить цену NFT, а позже перепродать токены третьим лицам. При этом служба безопасности площадки никак не помешала мошенникам.
В ноябре оба маркетплейса оказались под шквалом критики из-за политической цензуры. Карикатурист под псевдонимом Stonetoss обвинил маркетплейсы невзаимозаменяемых токенов (NFT) OpenSea и Rarible в политической цензуре после того, как площадки убрали из листинга его коллекцию токенов на $1,8 млн.
О том, как создать свой невзаимозаменяемый токен и сколько это стоит — читайте в специальном материале редакции BeInCrypto.
