11:30 1401/1/29
475
شرکت بیتباناز دست رفتن تمام دارایی، تنها با کلیک بر یک NFT مخرب
پلتفرم Rarible با بیش از ۲.۱ میلیون کاربر و حجم معاملات بیش از ۲۷۳ میلیون دلار در سال، یکی از بزرگترین بازارهای NFT جهان بهشمار میرود.
بهتازگی یک نقص امنیتی در این پلفترم شناسایی شده، که بواسطهی آن تمام دارایی کاربر تنها با کلیک کردن بر یک NFT مخرب، سرقت خواهد شد.
هک OpenSea بزرگترین بازار ان اف تی NFT
روش هک با NFT مخرب
۱. هکر ابتدا یک NFT مانند عکس یا گیف طراحی میکند، و کد مخربی را در آن قرار میدهد.
۲. در صورت کلیک کاربر بر آن، کد جاوااسکریپت مخرب اجرا، و NFTهای کاربر با استفاده از API اتریوم بررسی میشود.
۳. درخواست تراکنش setApprovalForAll به والت کاربر ارسال میشود.
۴. حال در صورت موافقت کاربر و تایید تراکنش، مهاجم به NFTهای قربانی دسترسی کامل پیدا کرده و میتواند آنها را به حساب خود منتقل کند.
تابع setApprovalForAll و حساسیت آن
این تابع برای تایید یا رد کردن کنترل کامل بازارها مانند OpenSea یا Rarible به توکنها یا NFTهای کاربر است. از این جهت حساسیت بسیار بالایی دارد و در صورت دسترسی مهاجم به آن و موافقت کاربر، مهاجم به تمام دارایی قربانی دسترسی خواهد داشت.
توصیههای امنیتی برای جلوگیری از هک در بازارهای NFT
۱. به اخبار پلتفرمهایی که با آنها کار میکنید، تنها در رسانههای اصلیشان توجه و اعتماد کنید.
۲. برای بررسی تاییدیههای توکنها، از لینک زیر استفاده کنید:
https://etherscan.io/tokenapprovalchecker
۳. از معتبر بودن والت خود مطمئن شوید و آن را تنها از طریق منابع معتبر دانلود و نصب نمایید.
۴. به هیچ عنوان بر لینکهای ناآشنا یا کوتاه شده کلیک نکنید.
۵. تا جای ممکن از دانلود فایل و کلیک بر لینکها در ایمیلهای خود خودداری کنید.
۶. پیشنهادهای ویژه، هدیهها و تخفیفهای زیادی ارزشمند، به احتمال زیاد کلاهبرداریاند، به آنها اعتماد نکنید.
منبع: Check Point