Mae Check Point, y cwmni rhyngwladol Americanaidd-Israelaidd sy'n darparu cynhyrchion caledwedd a meddalwedd ar gyfer diogelwch TG, wedi datgelu nodi diffyg diogelwch ym marchnad boblogaidd Rarible NFT, sy'n cynnwys dros ddwy filiwn o ddefnyddwyr gweithredol misol.
Diffyg Diogelwch ar Prin
Mewn post blog, Dywedodd CPR y byddai'r diffyg, pe bai'n cael ei ecsbloetio, wedi caniatáu i actor maleisus seiffon oddi ar NFTs defnyddiwr a waledi cryptocurrency mewn un trafodiad.
Rarible yw un o'r marchnadoedd mwyaf sefydledig yn y sector NFTF. Adroddodd fwy na $273 miliwn mewn cyfaint masnachu yn 2021. Felly, soniodd CPR fod defnyddwyr platfformau yn “llai amheus ac yn gyfarwydd â chyflwyno trafodion.” Rhybuddiodd ymchwilwyr yn y cwmni Rarible am y darganfyddiad ar Ebrill 5, ac ar ôl hynny cydnabu platfform yr NFT y diffyg a'i atgyweirio ar unwaith.
Gan amlinellu’r dull ymosod, nododd CPR:
“Mae’r dioddefwr yn derbyn dolen i’r NFT maleisus neu’n pori’r farchnad ac yn clicio arno. Mae'r NFT Maleisus yn gweithredu cod JavaScript ac yn ceisio anfon cais setApprovalForAll at y dioddefwr. Mae’r dioddefwr yn cyflwyno’r cais ac yn rhoi mynediad llawn i’r NFT’s/Crypto Token hwn i’r ymosodwr.”
Roedd CPR wedi’i gyfareddu gyntaf gan y mathau hyn o achosion ar ôl i gantores boblogaidd o Taiwan, Jay Chou, ddioddef ymosodiad seiber tebyg. Yn ôl y sôn, fe wnaeth ymosodwyr ddwyn NFT Chou a'i werthu'n ddiweddarach am $500k.
Yn ddiddorol, mae'r cwmni hefyd canfod gwendidau diogelwch critigol ar OpenSea fis Hydref diwethaf, a allai fod wedi galluogi ymosodwyr i “herwgipio cyfrifon defnyddwyr a dwyn waledi arian cyfred digidol cyfan trwy grefftio NFTs maleisus.”
Roedd hefyd yn annog defnyddwyr i fod yn ofalus wrth adolygu'r hyn y gofynnir amdano. Os yw’r cais yn ymddangos yn annormal neu’n amheus, dylent ei wrthod a’i archwilio ymhellach cyn darparu unrhyw fath o awdurdodiad.
Ymosodiadau rhemp ar farchnadoedd NFT
Daw'r datblygiad ychydig dros fis ar ôl marchnad NFT yn seiliedig ar Arbitrum - TreasureDAO - tystio cannoedd o NFTs yn cael eu dwyn mewn camfanteisio mewn cyfres o drafodion. Fe wnaeth yr endidau maleisus ecsbloetio bregusrwydd diogelwch yn y protocol a oedd yn eu galluogi i bathu tocynnau anffyngadwy am ddim.
Defnyddiwyd pen blaen OpenSea hefyd ar ddechrau'r flwyddyn, a dargedodd ddeiliaid Clwb Hwylio Bored Ape (BAYC). Fel yr adroddwyd yn gynharach, y troseddwr a reolir i ddwyn gwerth tua $750K o ETH.
Binance Am Ddim $ 100 (Unigryw): Defnyddiwch y ddolen hon i gofrestru a derbyn $ 100 am ddim a 10% oddi ar ffioedd ar Binance Futures y mis cyntaf (termau).
Cynnig Arbennig PrimeXBT: Defnyddiwch y ddolen hon i gofrestru a nodi cod POTATO50 i dderbyn hyd at $7,000 ar eich blaendaliadau.
Ffynhonnell: https://cryptopotato.com/cyber-security-firm-discovers-critical-vulnerability-on-nft-marketplace-rarible/