• 安全厂商Check Point发现,全球主要NFT平台Rarible存在重大漏洞,用户点击恶意NFT链接,钱包访问权限就会被窃取,资金被盗取;

  • 今年4月,中国台湾知名艺人周杰伦就遭到类似攻击,价值50万美元的NFT失窃;

  • 安全专家称,在安全性方面,Web 2.0与Web 3.0基础设施之间仍然存在巨大差距。

以色列网络安全厂商Check Point发布报告称,全球最大的不可替代代币(NFT)市场之一Rarible曝出安全漏洞,可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币

研究人员表示,网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接,攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金

Rarible平台未回复置评请求。据Check Point透露,该平台已经在4月5日的披露说明中承认存在此问题,“相信Rarible将在接下来的版本中部署修复程序。”

Web 3.0基础设施安全薄弱

Check Point产品漏洞研究负责人Oded Vanunu表示,他们已经看到不少网络犯罪分子正在盗窃加密货币以获取利润,这类行为在NFT市场上尤为常见。

Vanunu称,去年10月,另一家国际主要NFT市场OpenSea曾曝出安全漏洞,他们正是受此启发开始对Rarible进行调查。在中国台湾的超级巨星周杰伦抱怨自己的一个NFT被盗,卖出50万美元高价后,他们受到鞭策愈加积极调查。

“在安全性方面,Web 2.0与Web 3.0基础设施之间仍然存在巨大差距。”Vanunu表示。

“任何一个小漏洞都可能被网络犯罪分子利用,从而悄悄劫持用户的加密钱包。从安全角度来看,我们仍处在一个缺乏统一Web 3.0协议市场的状态。”

加密货币盗窃攻击过程还原

典型的Rarible漏洞利用流程如下:

  • 首先,黑客会向受害者发送一条恶意NFT链接;

  • 之后,该恶意NFT会“执行JavaScript代码,并尝试向受害者发送setApprovalForAll请求”。

  • 如此一来,受害者将在无意间回复请求,泄露自己NFT或加密货币的完全访问权限。

周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT,无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。

Check Point解释称,“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后,对方立即将NFT转移到了自己的钱包中,随后在市场上以50万美元价格卖出。”

“NFT用户应该对各类钱包的请求保持警惕,其中大部分仅指向钱包地址,但也有一些可能涉及对用户NFT及加密货币的完全访问权限。”

加密货币盗窃猖獗,用户需保持警惕

Rarible平台的月活跃用户超过200万。2021年,该平台报告的交易总量突破2亿美元。

Vanunu指出,这类加密货币/NFT黑攻击很可能引发极端影响。

“在基于区块链技术的交易市场上,我们已经观察到价值数百万美元的资产惨遭盗窃。在未来一段时期内,这类加密货币盗窃事件很可能还将持续增加。”

“结合当下现实,用户应当需要使用两个钱包:一个用于存储大部分加密货币,另一个仅用于操作单笔特定交易。这样即使涉及特定交易的钱包被盗,用户的主体资产不会受到致命影响。”

参考来源:therecord.media

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。