BT güvenliği için donanım ve yazılım ürünleri sağlayan Amerikan-İsrail çok uluslu şirketi Check Point, aylık iki milyondan fazla aktif kullanıcısı olan popüler NFT pazarı Rarible’da bir güvenlik açığı tespit ettiğini ortaya çıkardı.
CPR araştırmacıları, güvenlik tehdidinin, eğer istismar edilirse, hırsızların kullanıcıların NFT‘lerini ve kripto varlıklarını tek bir işlemde çalmasını sağlayabileceğini iddia ediyor.
Rarible’da Kritik Güvenlik Açığı Tespit Edildi
Bir blog gönderisinde CPR, güvenlik açığının istismar edilmesi halinde kötü niyetli bir kişinin tek bir işlemde bir kullanıcının NFT‘lerini ve kripto para cüzdanlarını boşaltmasına izin vereceğini belirtti.
Rarible, NFT sektöründeki en köklü pazarlardan biri olarak kullanıcıları karşılıyor. Öyle ki 2021 yılında 273 milyon dolardan fazla işlem hacmi bildirdi. Bu nedenle CPR, platform kullanıcılarının “daha az şüpheli ve işlem göndermeye aşina olduklarını” belirtti. Firmadaki araştırmacılar, 5 Nisan’da Rarible’ı keşif konusunda uyardı ve ardından NFT platformu kusuru kabul etti ve hemen düzeltti.
Saldırı yöntemini özetleyen CPR, yaptığı açıklamalarda şunları kaydetti:
“Kurban, kötü niyetli NFT’ye bir bağlantı alır veya alım satım platformunda gezinirken ona tıklar. Kötü Amaçlı NFT, JavaScript kodunu yürütür ve kurbana bir setApprovalForAll isteği göndermeye çalışır. Kurban isteği gönderir ve saldırgana bu NFT’nin/Kripto Simgesine tam erişim izni verir.”
CPR, Tayvanlı popüler şarkıcı Jay Chou’nun benzer bir siber saldırıya kurban gitmesinin ardından bu tür vakaların oldukça fazla yaşanmaya başladığına dikkat çekti. Bildirildiğine göre, saldırganlar Chou’nun NFT’sini çaldı ve daha sonra onu 500 bin dolara sattı.
İlginç bir şekilde firma, geçtiğimiz Ekim ayında OpenSea‘de, saldırganların “kötü amaçlı NFT’ler oluşturarak kullanıcı hesaplarını ele geçirmesine ve tüm kripto para cüzdanlarını çalmasına” olanak sağlayabilecek kritik güvenlik açıkları da tespit etti.
Ayrıca, talep edilenleri incelerken kullanıcıları da bu tür olaylara karşı dikkatli olmaya çağırdı.
NFT Alım Satım Platformlarına Yönelik Yaygın Saldırılar
Geliştirme, Arbitrum tabanlı NFT alım satım platformu TreasureDAO bir dizi işlemde bir istismarda yüzlerce NFT’nin çalındığına tanık olduktan sonra geldi. Kötü niyetli kişiler, protokoldeki bir güvenlik açığından yararlandı ve bu güvenlik açığı sayesinde, ücretsiz olarak değiştirilemeyen token’ları mint etmelerini sağladı.
Öte yandan OpenSea de bu yılın başında Bored Ape Yacht Club (BAYC) sahiplerini hedef alan bir istismara uğradı. Daha önce bildirildiği gibi, fail yaklaşık 750.000 dolar değerinde ETH çalmayı başardı.
