Investigadores encuentran un fallo de seguridad en Rarible: Los usuarios podrían haber perdido todos sus NFT
La división de investigación de la empresa de software de ciberseguridad Check Point dijo que había identificado una vulnerabilidad en el mercado de NFT de Rarible que podría haber hecho que muchos de sus aproximadamente dos millones de usuarios mensuales activos perdieran sus NFT en una sola transacción.
Check Point es una empresa multinacional de seguridad informática que se fundó en Ramat Gan, Israel, en 1993 y que también afirmó haber detectado problemas relacionados con lanzamientos maliciosos en OpenSea en octubre de 2021.
Según los documentos compartidos con Cointelegraph, Check Point Research (CPR) descubrió recientemente que los actores maliciosos podían enviarles a los usuarios un enlace dudoso a un NFT que ejecuta un código JavaScript después de hacer clic que “intenta enviar una solicitud setApprovalForAll a la víctima”.
Si se hace clic en el enlace, el usuario concede acceso completo a sus monederos en Rarible. CPR declaró que notificó inmediatamente a Rarible el 5 de abril, y la plataforma reconoció y corrigió rápidamente el fallo de seguridad:
“Si se explota, la vulnerabilidad habría permitido robar los NFT y los monederos de criptomonedas de un usuario en una sola transacción. Un ataque exitoso habría venido de un NFT malicioso dentro del propio mercado de Rarible, donde los usuarios son menos sospechosos y están familiarizados con el envío de transacciones.”
Robo de NFT
En declaraciones a Cointelegraph, Oded Vanunu, Jefe de Investigación de Vulnerabilidades de Productos en Check Point Software, dijo que su equipo se interesó por este tipo de estafa después de que el cantante taiwanés Jay Chou fuera víctima de un ataque similar. El NFT BoredApe #3738 de Chou fue robado mediante una transacción nefasta a principios de este mes.
“Una vez que vimos que este NFT fue robado, nos dio el incentivo para investigar más”. Una vulnerabilidad de este tipo también podría ser posible en muchas otras plataformas, dijo Vanunu.
“Rarible reconoció rápidamente el fallo de seguridad y lo solucionó eliminando la opción de carga de archivos SVG. Esto puso fin a la opción de ataque malicioso de NFT”, confirmó Vanunu.
Vanunu se negó a estimar el valor potencial perdido que podría haber provocado el fallo de seguridad, ya que podría haberse “desencadenado en cualquier usuario de la plataforma.” Cabe destacar que un ataque similar a un solo monedero perteneciente al fundador de DeFiance Capital, Arthur0x, el mes pasado, provocó la pérdida de unos 600 Ether (USD 1.86 millones).
CPR instó a los usuarios a ser diligentes cada vez que aprueben cualquier solicitud en las plataformas de NFT y a verificarlas todas a través del rastreador de solicitudes de Etherscan en momentos de incertidumbre.
Cointelegraph se ha puesto en contacto con Rarible para que comente el asunto, y actualizará la historia si la compañía responde.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.