以色列网络安全厂商Check Point发布报告称,全球最大的不可替代代币(NFT)市场之一Rarible曝出安全漏洞,可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币。
研究人员表示,网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接,攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金。
Rarible平台未回复置评请求。据Check Point透露,该平台已经在4月5日的披露说明中承认存在此问题,“相信Rarible将在接下来的版本中部署修复程序。”
Web 3.0基础设施安全薄弱
Check Point产品漏洞研究负责人Oded Vanunu表示,他们已经看到不少网络犯罪分子正在盗窃加密货币以获取利润,这类行为在NFT市场上尤为常见。
Vanunu称,去年10月,另一家国际主要NFT市场OpenSea曾曝出安全漏洞,他们正是受此启发开始对Rarible进行调查。在中国台湾的超级巨星周杰伦抱怨自己的一个NFT被盗,卖出50万美元高价后,他们受到鞭策愈加积极调查。
“在安全性方面,Web 2.0与Web 3.0基础设施之间仍然存在巨大差距。”Vanunu表示。
“任何一个小漏洞都可能被网络犯罪分子利用,从而悄悄劫持用户的加密钱包。从安全角度来看,我们仍处在一个缺乏统一Web 3.0协议市场的状态。”
加密货币盗窃攻击过程还原
典型的Rarible漏洞利用流程如下:
首先,黑客会向受害者发送一条恶意NFT链接;
之后,该恶意NFT会“执行JavaScript代码,并尝试向受害者发送setApprovalForAll请求”。
如此一来,受害者将在无意间回复请求,泄露自己NFT或加密货币的完全访问权限。
周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT,无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。
Check Point解释称,“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后,对方立即将NFT转移到了自己的钱包中,随后在市场上以50万美元价格卖出。”
“NFT用户应该对各类钱包的请求保持警惕,其中大部分仅指向钱包地址,但也有一些可能涉及对用户NFT及加密货币的完全访问权限。”
加密货币盗窃猖獗,用户需保持警惕
Rarible平台的月活跃用户超过200万。2021年,该平台报告的交易总量突破2亿美元。
Vanunu指出,这类加密货币/NFT黑攻击很可能引发极端影响。
“在基于区块链技术的交易市场上,我们已经观察到价值数百万美元的资产惨遭盗窃。在未来一段时期内,这类加密货币盗窃事件很可能还将持续增加。”
“结合当下现实,用户应当需要使用两个钱包:一个用于存储大部分加密货币,另一个仅用于操作单笔特定交易。这样即使涉及特定交易的钱包被盗,用户的主体资产不会受到致命影响。”