مشكلة في سوق NFT بسرقة محافظ التشفير ,كشف باحثو الأمن السيبراني عن خلل أمني ثابت الآن في سوق الرموز غير القابلة للاستبدال (NFT) ، والذي إذا تم استغلاله بنجاح ، يمكن أن يؤدي إلى الاستحواذ على الحساب وسرقة أصول العملة المشفرة.
قال باحثو Check Point رومان زيكين وديكله باردا وأوديد فانونو في تقرير تمت مشاركته مع The Hacker News: “من خلال إغراء الضحايا للنقر على NFT ضار ، يمكن للمهاجم أن يتحكم بشكل كامل في محفظة التشفير الخاصة بالضحية لسرقة الأموال”.
Rarible ، سوق NFT الذي يمكّن المستخدمين من إنشاء وشراء وبيع فن NFT الرقمي مثل الصور والألعاب والميمات ، لديه أكثر من 2.1 مليون مستخدم نشط.
قال فانونو ، رئيس أبحاث ثغرات المنتجات في Check Point ، في بيان تمت مشاركته مع The Hacker News: “لا تزال هناك فجوة كبيرة بين البنية التحتية Web2 و Web3 فيما يتعلق بالأمان”.
“يمكن أن تسمح أي ثغرة صغيرة لمجرمي الإنترنت باختطاف محافظ التشفير خلف الكواليس. ما زلنا في حالة تفتقر فيها الأسواق التي تجمع بين بروتوكولات Web3 من منظور أمني. قد تكون الآثار المترتبة على اختراق العملة المشفرة شديدة.”
تعتمد طريقة عمل الهجوم على إرسال ممثل ضار رابطًا إلى NFT (على سبيل المثال. صورة) إلى الضحايا المحتملين الذين. عند فتحه في علامة تبويب جديدة. ينفذون كود JavaScript عشوائيًا. مما قد يسمح للمهاجمين بالتحكم الكامل في NFTs الخاصة بهم عن طريق إرسال طلب setApprovalForAll إلى المحفظة.
setApprovalForAll API
تسمح setApprovalForAll API للسوق (في هذه الحالة. Rarible) بنقل العناصر المباعة من عنوان البائع إلى عنوان المشتري بناءً على العقد الذكي المنفذ.
وأشار الباحثون إلى أن “هذه الوظيفة خطيرة جدًا من حيث التصميم لأن هذا قد يسمح لأي شخص بالتحكم في NFTs الخاصة بك إذا تم خداعك للتوقيع عليها”.
“ليس من الواضح دائمًا للمستخدمين بالضبط ما هي الأذونات التي يمنحونها من خلال التوقيع على معاملة. في معظم الوقت. تفترض الضحية أن هذه معاملات منتظمة بينما في الواقع. كانوا يمنحون التحكم في NFTs الخاصة بهم.”
عند الموافقة على الطلب. يسمح المخطط الاحتيالي للخصم فعليًا بنقل جميع NFTs من حساب الضحية. والتي يمكن بعد ذلك بيعها من قبل المهاجم في السوق بسعر أعلى.
كإجراءات وقائية. يوصى بأن يقوم المستخدمون بفحص طلبات المعاملات بعناية قبل تقديم أي نوع من التفويض. يمكن مراجعة موافقات الرموز السابقة وإبطالها من خلال زيارة أداة التحقق من الموافقة على الرمز المميز في Etherscan.
قال الباحثون: “يجب أن يدرك مستخدمو NFT أن هناك طلبات مختلفة للمحفظة – بعضها يستخدم فقط لتوصيل المحفظة ، لكن البعض الآخر قد يوفر وصولاً كاملاً إلى NFTs و Tokens”.
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.