Vulnerabilidad en el mercado NFT de Rarible podría haber permitido a los hackers secuestrar billeteras criptográficas

Los investigadores de seguridad cibernética revelaron una vulnerabilidad de seguridad ya reparada en el mercado de tokens no fungibles (NFT) de Rarible, que de ser explotada con éxito, podría haber llevado a la apropiación de cuentas y robo de activos de criptomonedas.

«Al atraer a las víctimas para que hagan clic en un NFT malicioso, un atacante puede tomar el control total de la billetera criptográfica de la víctima para robar los fondos», dijeron los investigadores de Check Point, Roman Zaikin, Dikla Barda y Oved Vanunu.

Rarible es un mercado de NFT que permite a los usuarios crear, comprar y vender arte digital de NFT como fotografías, juegos y memes. Cuenta con más de 2.1 millones de usuarios activos.

«Todavía hay una gran brecha, en términos de seguridad, entre la infraestructura Web2 y Web3», dijo Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point.

«Cualquier pequeña vulnerabilidad puede permitir que los ciberdelincuentes secuestren las billeteras criptográficas detrás de escena. Todavía estamos en un estado en el que los mercados que combinan los protocolos Web3 carecen de una perspectiva de seguridad. Las implicaciones que siguen a un hack criptográfico pueden ser extremas», agregó.

El modus operandi del ataque depende de que un actor malintencionado envíe un enlace a un NFT no autorizado (por ejemplo, una imagen) a posibles víctimas que, al abrir en una nueva pestaña, ejecuta código JavaScript arbitrario, lo que potencialmente permite al atacante obtener un control total sobre sus NFT enviando una solicitud setApprobalForAll a la billetera.

La API setApprovalForAll permite que un mercado transfiera artículos vendidos desde la dirección del vendedor a la dirección del comprador según el contrato inteligente implementado.

«Esta función es muy peligrosa por diseño porque puede permitir que cualquiera controle sus NFT si lo engañan para que lo firme», dijeron los investigadores.

«No siempre está claro para los usuarios exactamente qué permisos están otorgando al firmar una transacción. La mayoría de las veces, la víctima asume que se trata de transacciones regulares, cuando de hecho, estaban otorgando control sobre sus propios NFT».

Al conceder la solicitud, el esquema fraudulento permite efectivamente que el adversario transfiera todos los NFT de la cuenta de la víctima, que luego el atacante puede vender en el mercado a un precio más alto.

Como medida de seguridad, se recomienda que los usuarios analicen de forma cuidadosa las solicitudes de transacciones antes de proporcionar cualquier tipo de autorización. Las aprobaciones de tokens anteriores se pueden revisar y revocar visitando la herramienta Verificador de Aprobación de Tokens de Etherscan.

«Los usuarios de NFT deben tener en cuenta que existen varias solicitudes de billetera; algunas de ellas se utilizan solo para conectar la billetera, pero otras pueden brindar acceso completo a sus NFT y tokens», dijeron los investigadores.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.