Siber güvenlik yazılım şirketi Check Point’in araştırma kolu, NFT pazar yeri Rarible’da kritik bir güvenlik zafiyeti tespit etti. Güvenlik zafiyeti, pazar yerinin yaklaşık iki milyon aylık aktif kullanıcısının çoğunun tek bir işlem ile tüm NFT’lerini kaybetmeleriyle sonuçlanabilecek düzeyde.
Çok uluslu BT güvenlik şirketi Check Point, 1993 yılın İsrail’de kuruldu. Aynı şirket, Ekim 2021’de de OpenSea’deki kötü amaçlı airdrop’lara ilişkin sorunları tespit etmişti.
Check Point Research (CPR), Cointelegraph ile paylaşılan belgelere göre kötü amaçlı kişilerin kullanıcılara şüpheli NFT’lerin bağlantılarını gönderebildiklerini ve bağlantıya tıklandığında çalıştırılan JavaScript kodunun mağdura “setApprovalForAll talebi göndermeye çalışabileceğini” fark etti.
Kullanıcılar, bağlantıya tıklamaları halinde Rarible’daki cüzdanlarına tam erişim hakkı vermiş oluyorlar. CPR, Rarible’ı 5 Nisan’da hemen konuyla ilgili bilgilendirdiklerini ve platformun da güvenli zafiyetini hemen giderdiğini bildirdi:
“Bu güvenlik zafiyeti kullanılsaydı, tehdit unsurları kullanıcıların NFT ve kripto para cüzdanlarını tek bir işlem ile çalabilirdi.”
Cointelegraph’a konuşan Check Point Software Ürün Zafiyet Araştırma Başkanı Oded Vanunu, şirketin Tayvanlı şarkıcı Jay Chou’nun ay başında benzer bir saldırının mağduru olması ve BoredApe #3738 NFT’sini çaldırması sonrasında bu dolandırıcılık türüne ilgi göstermeye başladığını açıkladı.
“Bu NFT’nin çalındığını gördüğümüzde, bize soruşturma yapmak için gerekli teşviği verdi,” diyen Vanunu, söz konusu zafiyetin diğer platformlarda da olabileceğini düşündüklerini ekledi.
Vanunu, “Rarible güvenlik zafiyetini hızla kabul etti ve SVG dosya yükleme seçeneğini kaldırarak düzeltti. Bu da NFT saldırısı seçeneğini ortadan kaldırdı,” diye belirtti.
