La branche de recherche de l’entreprise de logiciels de cybersécurité Check Point a déclaré avoir identifié une vulnérabilité dans la place de marché NFT de Rarible qui aurait pu faire perdre à un grand nombre de ses près de deux millions d’utilisateurs mensuels actifs leurs NFT en une seule transaction.
Check Point, fondée à Ramat Gan, en Israël, en 1993, est une société multinationale de sécurité informatique qui a également affirmé avoir repéré des problèmes de parachutage malveillant sur OpenSea en octobre 2021.
Selon des documents, Check Point Research (CPR) a récemment découvert que des acteurs malveillants pouvaient envoyer aux utilisateurs un lien suspect vers un NFT qui exécute du code JavaScript et une requête setApprovalForAll pouvant faire perdre à la victime qui a cliqué sur le lien tous ses NFT.
Si la victime clique sur le lien, l’utilisateur accorde un accès complet à ses portefeuilles sur Rarible. Le RPC a déclaré avoir immédiatement informé Rarible le 5 avril, la plateforme ayant rapidement reconnu et corrigé la faille de sécurité.
« Si elle était exploitée, la vulnérabilité aurait permis à un acteur malveillant de voler les NFT et les portefeuilles de crypto-monnaies d’un utilisateur en une seule transaction. Une attaque réussie serait venue d’un NFT malveillant au sein même de la place de marché Rarible, où les utilisateurs sont moins méfiants et habitués à soumettre des transactions. »
Vol de NFT
Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point Software, a déclaré que son équipe s’est intéressée à ce type d’escroquerie après que le chanteur taïwanais Jay Chou a été victime d’une attaque similaire. Le NFT BoredApe #3738 de Jay Chou a été détourné par une transaction malveillante au début du mois.
« Une fois que nous avons vu que ce NFT avait été volé, cela nous a incités à enquêter davantage. » Vanunu a déclaré qu’une telle vulnérabilité pourrait également être possible sur de nombreuses autres plateformes.
« Rarible a rapidement reconnu la faille de sécurité et l’a corrigée en supprimant l’option de téléchargement des fichiers SVG. Cela a mis fin à l’option d’attaque malveillante NFT », a confirmé M. Vanunu.
Vanunu a refusé d’estimer la perte de valeur potentielle que la faille de sécurité aurait pu causer, car elle aurait pu être « déclenchée sur n’importe quel utilisateur de la plateforme » Notamment, une attaque similaire sur un seul portefeuille appartenant au fondateur de DeFiance Capital, Arthur0x, le mois dernier, a entraîné la perte d’environ 600 Ether (1,86 million de dollars).
Le RPC a exhorté les utilisateurs à faire preuve de diligence lorsqu’ils approuvent des applications sur les plateformes NFT et à les vérifier toutes via le tracker d’applications d’Etherscan, en cas de doute.