A Check Point Research identificou uma falha de segurança na Rarible, um marketplace de NFT com mais de dois milhões de usuários ativos por mês. Se explorada, a vulnerabilidade permitia ao cibercriminosos roubar NFTs de usuários de carteiras digitais em uma única transação.
Um ataque desse tipo executado com sucesso viria de um NFT malicioso encontrado na própria plataforma da Rarible, onde os usuários são menos desconfiados e estão mais familiarizados com o envio de transações. A CPR informou de imediato à Rarible a respeito dessas descobertas quanto à vulnerabilidade.
Em 2021, a Rarible registrou um volume de negócios superior a US$ 273 milhões, tornando a plataforma um dos maiores marketplaces de NFT do mundo, pois também suporta três blockchains com mais de 400 mil NFTs cunhados. Além disso, a Rarible oferece aos criadores de NFT um grande potencial de ganhos por meio de royalties, pois esses criadores podem ganhar até 50% em royalties sempre que alguém revender seu NFT no mercado secundário.
Por sua vez, os pesquisadores da Check Point Research encontraram uma falha de design no marketplace que pode permitir que atacantes assumam as carteiras de criptomoedas dos usuários, induzindo-os a clicar em um NFT malicioso e assumir o controle total de sua carteira, incluindo fundos. Diante disso, a Rarible foi alertada sobre esse risco potencial e, com a colaboração dos pesquisadores, identificou o bug e instalou uma solução.
Metodologia do ataque
A metodologia do ataque foi da seguinte forma:
1. Vítima recebe um link para o NFT malicioso ou clica no mesmo fazendo uma pesquisa no marketplace.
2. O NFT malicioso executa um código JavaScript e tenta enviar um pedido de permissão à vítima.
3. A vítima aceita o pedido, dando ao atacante acesso total ao Token do NFT ou da criptomoeda.
Razões para investigar
No dia 1 de abril, a CPR observou um ataque semelhante contra Jay Chou, um famoso cantor taiwanês. Ele foi motivado a submeter uma transação que resultou no roubo do NFT 3738 da coleção BoardAppe, vendido mais tarde por US$ 500 mil no marketplace. Qualquer detentor de cripto/NFTs pode ser vítima deste método de ataque, e isso foi o que intrigou os pesquisadores da Check Point Software, levando-os a analisar a plataforma Rarible. Prevenir outros roubos de contas e criptomoedas está, naturalmente, na motivação primordial desta pesquisa.
As descobertas atuais da CPR somam-se à investigação anterior que data de outubro de 2021 na qual foram encontradas falhas de segurança críticas no OpenSea, o maior marketplace de NFT do mundo. Se não fossem corrigidas, as vulnerabilidades identificadas permitiriam que hackers roubassem contas e carteiras digitais completas por meio da criação de NFTs maliciosos.
A divisão CPR compartilhou as suas descobertas com a Rarible no dia 5 de abril de 2022. A plataforma identificou a falha de segurança e a CPR acredita que já há uma correção implementada.
“A CPR tem investido recursos significativos no estudo da forma como a criptomoeda e a segurança se interlaçam. Continuamos verificando grandes esforços por parte dos cibercriminosos no sentido de lucrar a partir da moeda digital, especialmente em marketplaces de NFT. Em outubro do ano passado, identificamos vulnerabilidades de segurança críticas no OpenSea. Agora, vimos vulnerabilidades semelhantes na Rarible. Em termos de segurança, ainda existe uma grande lacuna entre a infraestrutura Web2 e Web3. Qualquer pequena vulnerabilidade abre uma porta de entrada para um cibercriminoso roubar carteiras digitais sem que ninguém perceba”, relata Oded Vanunu, head de pesquisa de vulnerabilidade de produtos da Check Point Software.
“Estamos ainda numa fase em que os marketplaces que combinam protocolos de Web3 carecem de boas práticas de segurança. As implicações de um ataque a este tipo de ativos digitais podem ser extremas. Vimos milhões de dólares serem roubados de usuários de marketplaces que combinam tecnologias de blockchain. Atualmente, temos a expectativa de que continuaremos a ver o aumento dos roubos de criptomoeda, e os usuários devem estar atentos. No momento, há dois tipos de carteiras digitais que os usuários têm de gerenciar: uma para grande parte dos recursos cripto e outra dedicada apenas a transações específicas. Assim, caso a segurança dessa segunda seja comprometida, a vítima estará ainda numa posição em que não perderá tudo. A CPR prossegue investigando as implicações de segurança desta nova frente da tecnologia blockchain”, ressalta Vanunu.
Dicas de segurança
– A CPR recomenda aos usuários para serem cautelosos e estarem atentos quando recebem pedidos de assinatura mesmo que provenham do próprio marketplace.
– Antes de aprovar um pedido, os usuários devem rever cuidadosamente o que se está pedindo, e considerar se é um pedido normal ou, se pelo contrário, é suspeito.
– Em caso de dúvida, os usuários são aconselhados a rejeitar o pedido e examiná-lo melhor antes de fornecer qualquer tipo de autorização.
– A recomendação é ainda para que os usuários revejam e revoguem as aprovações de tokens por meio do link Ethereum Token Approval.
INSCREVA-SE NO CANAL DO YOUTUBE DO VIDA MODERNA
