🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng trong nền tảng NFT Rarible có thể cho phép kẻ tấn công chiếm đoạt ví điện tử

17/04/2022

Một lỗ hổng bảo mật trong nền tảng NFT Rarible (hiện đã được khắc phục) cho phép kẻ tấn công chiếm đoạt tài khoản và đánh cắp tài sản tiền điện tử.

Rarible, một nền tảng NFT cho phép người dùng tạo và mua bán các ‘sản phẩm nghệ thuật số’ như ảnh, trò chơi và meme, với hơn 2,1 triệu người dùng đang hoạt động.

Các nhà nghiên cứu Roman Zaikin, Dikla Barda và Oded Vanunu của Check Point cho biết “bằng cách lừa nạn nhân nhấp vào một NFT độc hại, kẻ tấn công có thể kiểm soát hoàn toàn ví điện tử của nạn nhân để ăn cắp tiền”.

Kẻ tấn công gửi đến các nạn nhân tiềm năng một liên kết đến NFT giả mạo. Khi mở liên kết trong tab mới sẽ dẫn đến thực thi mã JavaScript độc hại và có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với NFT của nạn nhân thông qua request setApprovalForAll.

setApprovalForAll API cho phép nền Rarible chuyển các sản phẩm đã bán từ địa chỉ người bán sang địa chỉ người mua dựa trên hợp đồng thông minh (smart contract) đã triển khai.

Các nhà nghiên cứu cho biết "chức năng này rất nguy hiểm vì nó cho phép bất kỳ ai kiểm soát NFT của bạn nếu bạn bị lừa chấp nhận request".

"Không phải lúc nào người dùng cũng xác định chính xác được việc họ đang cấp quyền gì khi ký một giao dịch. Hầu hết các nạn nhân cho rằng đây là các giao dịch thông thường trong khi thực tế, họ đang trao quyền kiểm soát NFT của mình cho kẻ tấn công."

Sau khi có được quyền kiểm soát NFT, kẻ tấn công có thể chuyển tất cả NFT từ tài khoản nạn nhân sang tài khoản của chúng và bán nó cho người khác để kiếm lợi.

Người dùng nên kiểm tra cẩn thận các yêu cầu giao dịch (transaction request) trước khi đồng ý bất kỳ điều gì. Các phê duyệt token trước đó có thể được kiểm tra lại và thu hồi bằng cách sử dụng công cụ kiểm tra Token Approval Checker của Etherscan.

"Người dùng NFT nên biết rằng có nhiều request khác nhau-một số request chỉ được sử dụng để cho phép kết nối đến ví, nhưng một số khác có thể cung cấp toàn bộ quyền truy cập vào NFT và token của họ".

Nguồn: thehackernews.com.

scrolltop