Para peneliti di perusahaan perangkat lunak keamanan siber Check Point telah mengidentifikasi kerentanan di pasar NFT Rarible. Ratusan ribu dari sekitar dua juta pengguna aktif bulanannya akan kehilangan NFT mereka jika peretas telah mengeksekusinya.
Pengungkapan Bertanggung Jawab Check Point
“Serangan yang berhasil akan datang dari NFT berbahaya di dalam pasar Rarible itu sendiri, di mana pengguna kurang curiga dan terbiasa mengirimkan transaksi,” catat Check Point Research.
Masalah dengan fungsi "setApprovalForAll", bagian dari standar NFT EIP-721, adalah bahwa fungsi tersebut memberikan kendali penuh atas aset NFT kepada pihak lain. Serangan phishing dapat dirancang untuk mencuri aset korbannya. Mereka dapat meyakinkan mereka untuk menandatangani permintaan transaksi yang tampaknya berasal dari sumber yang sah.
Karena masalah keamanan di Rarible, pengguna dapat mengunggah file media hingga 100MB tanpa memeriksanya untuk konten yang berpotensi berbahaya. Peneliti dari Check Point mengeksploitasi masalah ini dengan membuat gambar SVG yang berisi muatan JavaScript berbahaya.
Sistem akan mengeksekusi kode jika target mengklik gambar NFT atau tautan IPFS. Karenanya, picu permintaan transaksi di browser mereka. Jika target tidak memahami detail transaksi, mereka dapat menyetujui permintaan tersebut. Ini memungkinkan penyerang untuk mengakses seluruh koleksi mereka. Penyerang kemudian akan menggunakan tindakan "transferFrom" untuk mencuri NFT dan mentransfernya ke dompet mereka. Perhatikan bahwa tindakan ini tidak dapat diubah.
Platform CPR memberi tahu Rarible tentang masalah ini pada 5 April. Perusahaan segera mengakui dan memperbaiki masalahnya.
Pencurian NFT adalah Ancaman
Oded Vanunu, peneliti keamanan di Check Point Software, mengatakan bahwa perusahaan menjadi tertarik dengan serangan ini setelah penyanyi Taiwan Jay Chou menjadi korban. BoredApe #3738 NFT Chou digesek melalui transaksi jahat pada awal Februari.
“Begitu kami melihat NFT ini dicuri, itu mendorong kami untuk menyelidiki lebih lanjut,” kata Vanunu. Dia juga menambahkan bahwa kerentanan seperti itu dapat terjadi di banyak platform lain. Kerentanan dengan cepat diperbaiki oleh Rarible, yang menghapus opsi untuk mengunggah file SVG. Itu menghentikan opsi serangan NFT berbahaya, tambah Vanunu.
Menurut Vanunu, setiap pengguna di platform tersebut dapat memicu kelemahan keamanan. Namun, dia tidak memperkirakan berapa banyak yang bisa hilang. Serangan serupa terhadap dompet Arthur Cheong mengakibatkan kerugian lebih dari $1.86 juta. Oleh karena itu, pengguna harus selalu rajin saat menyetujui permintaan di platform NFT. Mereka juga harus menggunakan pelacak permintaan Etherscan bila memungkinkan.
Kebutuhan untuk Melindungi Aset Anda
Penting untuk dicatat bahwa masalah ini tidak hanya terjadi pada Rarible, karena Check Point menemukan kelemahan serupa di OpenSea tahun lalu. Masalah dengan standar transaksi NFT adalah mempersulit pemegang aset untuk menentukan keasliannya.
Oleh karena itu, Anda harus memeriksa apa pun yang Anda diminta untuk menandatangani dengan hati-hati untuk memastikan apa yang terlibat. Juga, hindari menandatangani apa pun jika Anda tidak yakin tentang apa yang terlibat. Disarankan agar pengguna melihat persetujuan token mereka sebelumnya dan mencabut persetujuan yang tampak curang dengan menggunakan pemeriksa persetujuan token ini.
Karena sifat dari serangan ini, mereka dapat memakan waktu lebih lama untuk diselesaikan dan dapat mempengaruhi transfer aset. Karena teknologi blockchain terus berkembang, investor harus lebih berhati-hati saat melindungi aset mereka.
Laut Terbuka dalam Masalah
Menurut dua penggugat, OpenSea gagal mengatasi kerentanan keamanan yang memungkinkan peretas mencuri token non-fungible (NFT). Kegagalan untuk mengatasi masalah ini menyebabkan kerugian ratusan ribu dolar.
Pengguna lain mengeluh bahwa OpenSea menempatkan tanggung jawab pada penggunanya untuk melindungi NFT mereka. Itu datang ketika adegan NFT terus diganggu oleh penipuan dan penipuan.
Gugatan yang diajukan terhadap OpenSea oleh kedua penggugat dapat menjadi preseden terkait penanganan klaim terkait NFT. Dengan tidak adanya otoritas terpusat, sistem pengadilan akan bermanfaat dalam menangani kasus-kasus ini.
Sumber: https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/