www.economiadehoy.es

Fallo de seguridad en Rarible, el marketplace de NFT con más de dos millones de usuarios activos mensuales

Fallo de seguridad en Rarible, el marketplace de NFT con más de dos millones de usuarios activos mensuales
Ampliar

Podría haber provocado el robo de monederos de criptomonedas

lunes 18 de abril de 2022, 12:00h
De ser explotada, la vulnerabilidad habría permitido a un ciberdelincuente robar las NFT y las carteras de criptomonedas de varios usuarios en una sola transacción. El ataque exitoso habría procedido de una NFT maliciosa dentro del propio marketplace, donde los usuarios son menos sospechosos y están familiarizados con el envío de transacciones. id:83039

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, identificó un fallo de seguridad en Rarible, el mercado de NFT con más de dos millones de usuarios activos mensuales. De ser explotada, la vulnerabilidad habría permitido a un ciberdelincuente robar las NFT y las carteras de criptomonedas de varios usuarios en una sola transacción. El ataque exitoso habría procedido de una NFT maliciosa dentro del propio marketplace, donde los usuarios son menos sospechosos y están familiarizados con el envío de transacciones.

Rarible es un marketplace de NFT que permite a los usuarios crear, comprar y vender arte digital de NFT como fotografías, juegos y memes. La empresa informó de un volumen de transacciones de más de 273 millones de dólares en 2021 y de más de 2.1 millones de usuarios, lo que lo que lo convierte en uno de los mayores mercados de NFT del mundo, ya que también admite tres blockchains con más de 400.000 NFT acuñados. Además, Rarible proporciona a los creadores de NFT un gran potencial de ingresos a través de los derechos de autor, ya que estos creadores pueden ganar hasta un 50% en derechos de autor cada vez que alguien revende su NFT en el mercado secundario.

Por su parte, los investigadores de Check Point Research encontraron un fallo de diseño dentro del marketplace que puede permitir a los atacantes hacerse con las carteras de criptomonedas de los usuarios, atrayéndolos a hacer clic en un NFT malicioso, y tomar el control total de su cuenta, incluyendo los fondos. Ante esto, Rarible fue alertada sobre este riesgo potencial y con la colaboración de los investigadores, reconoció el fallo e instaló una solución.

Metodología de un posible ataque

  1. La víctima recibe un enlace a la NFT maliciosa o navega por el mercado y hace clic en ella.
  2. La NFT maliciosa ejecuta código JavaScript e intenta enviar una solicitud setApprovalForAll a la víctima.
  3. La víctima envía la solicitud y concede el acceso completo a esta NFT/Crypto Token al atacante.

Motivos de la investigación

El 1 de abril, Check Point Research fue testigo de un ataque similar a Jay Chou, un famoso cantante taiwanés. Fue engañado para enviar una transacción que robó su BoardAppe NFT 3738 que más tarde se vendió por 500.000 dólares en el mercado. En este sentido, la víctima de este método puede ser cualquier poseedor de cripto/NFT.

Los hallazgos actuales de Check Point Research se basan en una investigación previa realizada en octubre de 2021, en la que encontraron fallos de seguridad críticos en OpenSea, el mayor mercado de NFT del mundo. Si no se corrigen, las vulnerabilidades descubiertas en la plataforma de OpenSea podrían permitir a los hackers apropiarse de las cuentas de los usuarios y robar carteras de criptodivisas enteras mediante la creación de NFT maliciosas.

Detalles técnicos

Los tokens no fungibles tienen un estándar (EIP-721), que proporciona una funcionalidad básica para el seguimiento y la transferencia de los NFT. Este estándar tiene una función llamada setApprovalForAll. Esta función designa quién está autorizado a controlar todos sus tokens/NFTs, que se crea principalmente para que terceras partes como Rarible/OpenSea, etc. controlen los NFT/tokens en nombre de los usuarios.

Esta función es muy peligrosa por su diseño, ya que puede permitir que cualquiera controle tus NFTs si te engañan para que las firmes. No siempre está claro para los usuarios qué permisos están dando exactamente al firmar una transacción. La mayoría de las veces, las víctimas asumen que se trata de transacciones regulares cuando en realidad estaban dando el control sobre sus propios NFT.

Los atacantes utilizan este tipo de transacción normalmente en ataques de phishing, pero cuando proviene del propio mercado NFT, es mucho más peligroso.

"Check Point Research ha invertido importantes recursos en el análisis de la interacción entre las criptomonedas y la seguridad. Seguimos observando grandes esfuerzos por parte de los ciberdelincuentes para intentar robar grandes cantidades de dinero de las criptomonedas, especialmente de los mercados de NFT. En octubre del año pasado, descubrimos fallos de seguridad críticos en OpenSea, el mayor mercado de NFT del mundo. Ahora, hemos identificado vulnerabilidades similares en Rarible. En términos de seguridad, todavía existe una enorme brecha entre la infraestructura Web2 y Web3. Cualquier pequeña vulnerabilidad abre una puerta trasera para que los ciberdelincuentes secuestren las carteras de criptomonedas entre bastidores. Todavía estamos en un estado en el que los mercados que combinan protocolos Web3 carecen de una práctica de seguridad sólida. Las implicaciones tras un hackeo de criptomonedas pueden ser extremas. Hemos visto el secuestro de millones de dólares de usuarios de mercados que combinan tecnologías blockchain. Actualmente, espero ver un aumento continuo de los robos de criptodivisas. Los usuarios deben prestar atención. En la actualidad, tienen que gestionar dos tipos de carteras: una para la mayor parte de sus criptomonedas y otra sólo para transacciones específicas. En caso de que la cartera para transacciones específicas se vea comprometida, los usuarios pueden seguir estando en una posición en la que no lo pierdan todo. Seguiremos investigando las implicaciones de seguridad de la nueva tecnología blockchain", alerta Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software.

Los usuarios de NFT deben ser conscientes de que hay varias solicitudes de monedero - algunas de ellas se utilizan sólo para conectarlo, pero otras pueden proporcionar acceso completo a sus NFT y tokens.

Consejos de seguridad

  1. Tener cuidado y estar atento siempre que se reciban solicitudes de firma incluso dentro del propio mercado.
  2. Antes de aprobar una solicitud, los usuarios deben revisar cuidadosamente lo que se solicita, y considerar si la misma parece anormal o sospechosa.
  3. Si hay dudas, se aconseja a los usuarios rechazar la solicitud y examinarla más a fondo antes de dar cualquier tipo de autorización.
  4. Se aconseja a los usuarios que revisen y anulen las aprobaciones de tokens en este enlace: https://etherscan.io/tokenapprovalchecker.
¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios