Cacat keamanan kritis ditemukan di pasar NFT Rarible

Para peneliti telah mengidentifikasi kelemahan keamanan di pasar NFT Rarible yang dapat menyebabkan pencurian dompet kripto.

Jika dieksploitasi, kerentanan akan memungkinkan aktor ancaman untuk mencuri NFT dan dompet mata uang kripto pengguna dalam satu transaksi.

Para peneliti di CheckPoint mengatakan bahwa serangan yang berhasil akan datang dari NFT berbahaya dalam pasar Rarible, di mana orang-orang kurang curiga dan terbiasa mengirimkan transaksi. Untuk konteksnya, platform tersebut melaporkan volume perdagangan $273 juta tahun lalu dan menawarkan lebih dari dua juta pengguna aktif bulanan – menjadikannya salah satu pasar NFT terbesar di dunia.

Temuan itu segera diungkapkan kepada Rarible pada 5 April, yang mengakui kelemahan keamanan. Check Point yakin bahwa perusahaan akan menerapkan perbaikan pada saat publikasi.

"CPR telah menginvestasikan sumber daya yang signifikan dalam memeriksa persimpangan kripto dan keamanan," komentar Oded Vanunu, kepala Penelitian Kerentanan Produk di Perangkat Lunak Check Point. "Kami masih terus melihat upaya besar oleh penjahat cyber untuk mencoba dan mencuri keuntungan besar dari cryptocurrency, terutama pasar NFT.

“Pada Oktober tahun lalu, kami menemukan kelemahan keamanan kritis di OpenSea, pasar NFT terbesar di dunia. Sekarang, kami telah mengidentifikasi kerentanan serupa di Rarible.”

Jika tidak ditambal, kelemahan keamanan kritis yang ditemukan di OpenSea dapat memungkinkan peretas untuk membajak akun pengguna dan mencuri seluruh dompet cryptocurrency dengan membuat NFT berbahaya.

Dengan penemuan terbaru dari Rarible ini, Check Point mengatakan bahwa penyerang akan mengandalkan korban untuk mengklik link ke NFT berbahaya, baik melalui browsing pasar atau menerima link tersebut.

NFT jahat kemudian akan mengeksekusi kode JavaScript dan mencoba mengirim permintaan setApprovalForAll kepada korban, yang kemudian akan mengirimkan permintaan dan memberikan akses penuh ke NFT atau token kripto kepada penyerang.

Vanunu menjelaskan bahwa masih ada “kesenjangan besar” antara infrastruktur Web2 dan Web3, dengan kerentanan kecil apa pun yang membuka pintu belakang bagi penjahat dunia maya untuk membajak dompet kripto di belakang layar.

“Kami masih dalam keadaan di mana pasar yang menggabungkan protokol Web3 kurang memiliki praktik keamanan yang baik,” katanya. “Implikasi setelah peretasan kripto bisa sangat ekstrem. Kami telah melihat jutaan dolar dibajak dari pengguna pasar yang menggabungkan teknologi blockchain.”

Check Point mengatakan bahwa pengguna harus tetap berhati-hati dan waspada setiap kali menerima permintaan baru untuk ditandatangani, bahkan di dalam pasar itu sendiri, dan untuk meninjau dengan cermat apa yang diminta sebelum menerima permintaan.

Jika ada keraguan, pengguna disarankan untuk menolak permintaan tersebut dan memeriksanya lebih lanjut sebelum memberikan otorisasi apa pun. Persetujuan token dapat ditinjau dan dicabut menggunakan alat persetujuan token Etherscan.

“Saat ini, saya berharap untuk melihat peningkatan pencurian cryptocurrency yang berkelanjutan. Pengguna harus memperhatikan,” saran Vananu. “Pengguna saat ini perlu mengelola dua jenis dompet:satu untuk sebagian besar kripto mereka dan satu lagi hanya untuk transaksi tertentu.

“Jika dompet untuk transaksi tertentu disusupi, pengguna masih bisa berada dalam posisi di mana mereka tidak kehilangan segalanya. CPR akan terus meneliti implikasi keamanan dari batas baru teknologi blockchain"