Les chercheurs en cybersécurité ont révélé une faille de sécurité désormais corrigée sur le marché des jetons non fongibles Rarible (NFT) qui, si elle était exploitée avec succès, aurait pu entraîner la prise de contrôle de compte et le vol d’actifs de crypto-monnaie.
« En incitant les victimes à cliquer sur un NFT malveillant, un attaquant peut prendre le contrôle total du portefeuille cryptographique de la victime pour voler des fonds », ont déclaré les chercheurs de Check Point, Roman Zaikin, Dikla Barda et Oded Vanunu. mentionné dans un rapport partagé avec The Hacker News.
Rarible, un marché NFT qui permet aux utilisateurs de créer, d’acheter et de vendre de l’art numérique NFT comme des photographies, des jeux et des mèmes, compte plus de 2,1 millions d’utilisateurs actifs.
« Il y a encore un énorme fossé entre, en termes de sécurité, entre l’infrastructure Web2 et Web3 », a déclaré Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point, dans un communiqué partagé avec The Hacker News.
« Toute petite vulnérabilité peut éventuellement permettre aux cybercriminels de détourner des portefeuilles cryptographiques dans les coulisses. Nous sommes toujours dans un état où les places de marché qui combinent les protocoles Web3 font défaut du point de vue de la sécurité. Les implications suite à un piratage cryptographique peuvent être extrêmes. »
Le mode opératoire de l’attaque repose sur un acteur malveillant envoyant un lien vers un NFT escroc (par exemple, une image) à des victimes potentielles qui, lorsqu’il est ouvert dans un nouvel onglet, exécute un code JavaScript arbitraire, permettant potentiellement à l’attaquant d’obtenir un contrôle total sur ses NFT. en envoyant une requête setApprovalForAll au portefeuille.
Le API setApprovalForAll permet à une place de marché (dans ce cas, Rarible) de transférer les articles vendus de l’adresse du vendeur à l’adresse de l’acheteur en fonction du contrat intelligent mis en œuvre.
« Cette fonction est très dangereuse de par sa conception car elle peut permettre à n’importe qui de contrôler vos NFT si vous êtes amené à le signer », ont souligné les chercheurs.
« Les utilisateurs ne savent pas toujours exactement quelles autorisations ils accordent en signant une transaction. La plupart du temps, la victime suppose qu’il s’agit de transactions régulières alors qu’en fait, elle donnait le contrôle de ses propres NFT. »
En accédant à la demande, le stratagème frauduleux permet effectivement à l’adversaire de transférer tous les NFT du compte de la victime, qui peuvent ensuite être vendus par l’attaquant sur le marché à un prix plus élevé.
Par mesure de sécurité, il est recommandé aux utilisateurs d’examiner attentivement les demandes de transaction avant de fournir tout type d’autorisation. Les approbations de jetons précédentes peuvent être examinées et révoquées en visitant Etherscan Vérificateur d’approbation de jeton outil.
« Les utilisateurs de NFT doivent être conscients qu’il existe diverses demandes de portefeuille – certaines d’entre elles sont utilisées uniquement pour connecter le portefeuille, mais d’autres peuvent fournir un accès complet à leurs NFT et Tokens », ont déclaré les chercheurs.