Một lỗ hổng bảo mật trong nền tảng NFT Rarible (hiện đã được khắc phục) cho phép kẻ tấn công chiếm đoạt tài khoản và đánh cắp tài sản tiền điện tử.
Rarible, một nền tảng NFT cho phép người dùng tạo và mua bán các ‘sản phẩm nghệ thuật số’ như ảnh, trò chơi và meme, với hơn 2,1 triệu người dùng đang hoạt động.
Các nhà nghiên cứu Roman Zaikin, Dikla Barda và Oded Vanunu của Check Point cho biết “bằng cách lừa nạn nhân nhấp vào một NFT độc hại, kẻ tấn công có thể kiểm soát hoàn toàn ví điện tử của nạn nhân để ăn cắp tiền”.
Kẻ tấn công gửi đến các nạn nhân tiềm năng một liên kết đến NFT giả mạo. Khi mở liên kết trong tab mới sẽ dẫn đến thực thi mã JavaScript độc hại và có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với NFT của nạn nhân thông qua request setApprovalForAll.
setApprovalForAll API cho phép nền Rarible chuyển các sản phẩm đã bán từ địa chỉ người bán sang địa chỉ người mua dựa trên hợp đồng thông minh (smart contract) đã triển khai.
Các nhà nghiên cứu cho biết "chức năng này rất nguy hiểm vì nó cho phép bất kỳ ai kiểm soát NFT của bạn nếu bạn bị lừa chấp nhận request".
"Không phải lúc nào người dùng cũng xác định chính xác được việc họ đang cấp quyền gì khi ký một giao dịch. Hầu hết các nạn nhân cho rằng đây là các giao dịch thông thường trong khi thực tế, họ đang trao quyền kiểm soát NFT của mình cho kẻ tấn công."
Sau khi có được quyền kiểm soát NFT, kẻ tấn công có thể chuyển tất cả NFT từ tài khoản nạn nhân sang tài khoản của chúng và bán nó cho người khác để kiếm lợi.
Người dùng nên kiểm tra cẩn thận các yêu cầu giao dịch (transaction request) trước khi đồng ý bất kỳ điều gì. Các phê duyệt token trước đó có thể được kiểm tra lại và thu hồi bằng cách sử dụng công cụ kiểm tra Token Approval Checker của Etherscan.
"Người dùng NFT nên biết rằng có nhiều request khác nhau-một số request chỉ được sử dụng để cho phép kết nối đến ví, nhưng một số khác có thể cung cấp toàn bộ quyền truy cập vào NFT và token của họ".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Google đã phát hành bản cập nhật khẩn cấp để vá hai lỗ hổng bảo mật trong trình duyệt Chrome, một trong số đó đang bị khai thác trong thực tế.
Tín nhiệm mạng | Phát hiện một lỗ hổng LFI mới trong nền tảng viết blog Hashnode cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm như khóa SSH, địa chỉ IP máy chủ và các thông tin network khác.
Tín nhiệm mạng | Các nhà bảo trì dự án máy chủ web NGINX đã đưa ra các biện pháp giảm nhẹ để khắc phục các lỗ hổng bảo mật trong triển khai tham chiếu giao thức Lightweight Directory Access LDAP.
Tín nhiệm mạng | Mạng botnet Qbot hiện đang phát tán mã độc thông qua email lừa đảo với các tệp đính kèm dạng ZIP được bảo vệ bằng mật khẩu có chứa các tệp MSI Windows Installer độc hại.
Tín nhiệm mạng | Hệ thống chuyển hướng lưu lượng truy cập Parrot đang lạm dụng các máy chủ lưu trữ khoảng 16.500 trang web để chuyển hướng mục tiêu đến các trang web lừa đảo và chứa phần mềm độc hại.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện bảy ứng dụng Android độc hại trên Cửa hàng Google Play giả dạng ứng dụng chống vi-rút để triển khai mã độc SharkBot.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
