- Check Point identificó una vulnerabilidad en el mercado de Rarible NFT.
- La compañía afirma que detectaron problemas relacionados con lanzamientos aéreos maliciosos ya en octubre de 2021.
- Los delincuentes podrían enviar a los usuarios un enlace sospechoso a un NFT que ejecuta un código JavaScript que, una vez que se hace clic, envía una solicitud setApprovalForAll al usuario.
Una de las divisiones de investigación de la firma de software de ciberseguridad Check Point identificó una vulnerabilidad en el mercado de Rarible NFT. Esta falla podría haber llevado a que los aproximadamente 2 millones de usuarios de la empresa perdieran todos sus NFT.
Check Point se fundó en Israel en 1993. La compañía afirma que detectó problemas relacionados con lanzamientos aéreos maliciosos ya en octubre de 2021.
Los documentos compartidos por Check Point Research (CPR) indicaron que descubrieron que los ciberdelincuentes podrían enviar a los usuarios un enlace sospechoso a un NFT que ejecuta código JavaScript que, una vez que se hace clic, envía una solicitud de Aprobación para todos al usuario.
Si un usuario hace clic en el enlace, otorga acceso completo a todas sus billeteras en Rarible. Check Point declaró que notificaron de inmediato a Rarible sobre el problema el 5 de abril. Rarible reconoció el problema y solucionó la falla de inmediato.
CPR declaró que “si se explota, la vulnerabilidad habría permitido a un actor de amenazas robar los NFT y las billeteras de criptomonedas de un usuario en una sola transacción”.
Según CPR, “un ataque exitoso habría provenido de un NFT malicioso dentro del propio mercado de Rarible, donde los usuarios sospechan menos y están familiarizados con el envío de transacciones”.
CPR aumentó su enfoque en este tipo de estafa después de que el cantante Jay Chou fuera víctima de un ataque similar. Afirmaron que “nos dio el incentivo para investigar más”.
CPR instó a todos los usuarios a ser más cuidadosos y diligentes cuando aprueben cualquier solicitud en las plataformas NFT. También se instó a los usuarios a verificar todas las transacciones en el rastreador de solicitudes de Etherscan cuando no estén seguros de las cosas.