Sicherheitslücke im NFT-Marktplatz Rarible

Quelle: davide bonaldo / Shutterstock.com

Die Sicherheitsforscher von Check Point Research (CPR) entdeckten eine Sicherheitslücke im NFT-Marktplatz Rarible. Eine Ausnutzung hätte zum Diebstahl der NFTs und Krypto-Währungen jedes Nutzers führen können.

Nur eine betrügerische Transkation hätte ausgereicht. CPR hat umgehend nach der Entdeckung die Schwachstelle am 5. April an Rarible gemeldet, welche diese Warnung wahrgenommen haben. Die Sicherheitsforscher glauben, dass zum Zeitpunkt der Publikation dieser Meldung die Sicherheitslücke geschlossen sein sollte – bestätigen dies aber nicht. Rarible ist der zweite NFT-Markplatz, worin CPR eine gefährliche Schwachstelle entdeckt, denn ähnliches fanden die Sicherheitsforscher im Oktober 2021 im weltweit größten NFT-Marktplatz von OpenSea.

Anzeige

Die betrügerische Attacke wäre von einem verseuchten NFT innerhalb des Rarible-Marktplatzes selbst gestartet worden, den die Nutzer als vertrauenswürdig einstufen. Das Ziel des Betrügers würde den Link zu dem verseuchten NFT erhalten und den Angriff mit dem Klick darauf starten – oder ein Nutzer durchsucht den Marktplatz und findet zufällig diesen verseuchten, aber harmlos aussehenden NFT und klickt darauf. Der bösartige NFT führt einen JavaScript-Code aus, der dann eine Freigabe für alles, ApprovalForAll, vom Nutzer fordert. Bestätigt der Nutzer diese sorglos, gibt er den Zugriff auf seine NFTs und Krypto-Tokens frei. Sodann könnten die Hacker dem Opfer mit einer Transaktion die Wallets für NFTs und Krypto-Währung stehlen.

Aufmerksam wurden die Experten dieses Mal am 1. April, weil dem taiwanesischen Sänger Jay Chou die NFTs gestohlen und auf dem Marktplatz von Rarible für 500 000 US-Dollar verkauft wurden. Chou wurde ausgetrickst und stimmte einer ähnlich gestrickten Anfrage zu, die mit einer Transaktion dann Zugriff auf seinen BoardAppe NFT 3788 ermöglichte. Rarible berichtete für das Jahr 2021 einen Umsatz auf seinem Marktplatz von 273 Millionen US-Dollar, was die Plattform zu einer der größten überhaupt macht.

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies, erklärt: „CPR hat beträchtliche Ressourcen in die Untersuchung der Überschneidung von Krypto-Währung und IT-Sicherheit investiert. Wir beobachten nach wie vor große Anstrengungen von Cyber-Kriminellen, die versuchen, große Gewinne aus Krypto-Währungen zu schlagen und insbesondere von NFT-Marktplätzen zu erbeuten. Im Oktober letzten Jahres haben wir kritische Sicherheitslücken in OpenSea, dem weltweit größten NFT-Marktplatz, entdeckt. Jetzt haben wir ähnliche Schwachstellen in Rarible gefunden. In Sachen der Sicherheit klafft somit immer noch eine große Lücke zwischen der Web2- und der Web3-Infrastruktur.

Jede kleine Schwachstelle öffnet Hackern eine Hintertür, um Krypto-Wallets hinter den Kulissen zu kapern. Wir befinden uns immer noch in einem Zustand, in dem Marktplätze, die Web3-Protokolle kombinieren, keine solide Sicherheitspraxis aufweisen. Die Folgen eines Krypto-Hacks können außerdem extrem sein. Wir haben gesehen, wie Millionen von US-Dollar von Nutzern von Marktplätzen, die Blockchain-Technologien kombinieren, erbeutet wurden. Derzeit rechne ich mit einer weiteren Zunahme von diesen Diebstählen. Die Nutzer müssen aufpassen. Sie müssen derzeit zwei Arten von Wallets verwalten: eines für den Großteil ihrer Krypto-Währungen und ein anderes nur für bestimmte Transaktionen. Sollte nur die Wallet für bestimmte Transaktionen attackiert werden, können die Benutzer jedoch immer noch in der Lage sein, nicht alles zu verlieren. CPR wird jedenfalls die Auswirkungen der neuen Blockchain-Technologie auf die Sicherheit weiter erforschen.”

CPR empfiehlt, vorsichtig und aufmerksam zu sein, wenn man Anfragen zur Unterzeichnung auf solchen Marktplätzen erhält, auch innerhalb des Marktplatzes selbst. Bevor die Nutzer eine Anfrage genehmigen, sollten sie sorgfältig prüfen, was verlangt wird, und überlegen, ob die Anfrage ungewöhnlich oder verdächtig erscheint.

Weitere Informationen:

Im Zweifelsfall sollten sie die Anfrage ablehnen und sie weiter prüfen, bevor sie eine Genehmigung erteilen. Den Benutzern wird zudem empfohlen, Token-Genehmigungen unter diesem Link zu prüfen und im Zweifel zu widerrufen: https://etherscan.io/tokenapprovalchecker.

Einen Überblick erhalten Sie hier.

www.checkpoint.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.