Detectado un fallo de seguridad en el mercado de NFT Rarible
- Vulnerabilidades
Con un volumen de transacciones de más de 273 millones de dólares y más de 2 millones de usuarios, el marketplace contenía una vulnerabilidad que, de haber sido explotada, habría permitido a un atacante robar las NFT y las carteras de criptomonedas de los usuarios en una sola transacción.
Check Point Research (CPR) ha identificado un fallo de seguridad en Rarible, el mercado de NFT con más de dos millones de usuarios activos mensuales, que, de ser explotado, habría permitido a un ciberdelincuente robar las NFT y las carteras de criptomonedas de varios usuarios en una sola transacción. El ataque exitoso habría procedido de una NFT maliciosa dentro del propio marketplace, donde los usuarios son menos sospechosos y están familiarizados con el envío de transacciones. Rarible fue alertada sobre este riesgo potencial y con la colaboración de los investigadores instaló una solución.
Rarible es un marketplace que permite a los usuarios crear, comprar y vender arte digital de NFT como fotografías, juegos y memes, cuyo volumen de transacciones superó los 273 millones de dólares en 2021, lo que lo convierte en uno de los mayores mercados de NFT del mundo. Los investigadores de Check Point encontraron un fallo de diseño dentro del marketplace que puede permitir a los atacantes hacerse con las carteras de criptomonedas de los usuarios, atrayéndolos a hacer clic en un NFT malicioso, y tomar el control total de su cuenta, incluyendo los fondos.
Según explican los investigadores, el ataque comienza cuando la víctima recibe un enlace a la NFT maliciosa o navega por el mercado y hace clic en ella. La NFT maliciosa ejecuta código JavaScript e intenta enviar una solicitud setApprovalForAll a la víctima, la cual envía la solicitud y concede el acceso completo a esta NFT/Crypto Token al atacante.
"Check Point Research ha invertido importantes recursos en el análisis de la interacción entre las criptomonedas y la seguridad. Seguimos observando grandes esfuerzos por parte de los ciberdelincuentes para intentar robar grandes cantidades de dinero de las criptomonedas, especialmente de los mercados de NFT. En octubre del año pasado, descubrimos fallos de seguridad críticos en OpenSea, el mayor mercado de NFT del mundo. Ahora, hemos identificado vulnerabilidades similares en Rarible", alerta Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software.
Check Point espera ver un aumento continuo de los robos de criptodivisas, por lo que aconseja a los usuarios prestar atención y gestionar dos tipos de carteras: una para la mayor parte de sus criptomonedas y otra sólo para transacciones específicas. En caso de que la cartera para transacciones específicas se vea comprometida, los usuarios pueden seguir estando en una posición en la que no lo pierdan todo.
