קריפטו
ישראלים מזהירים: האקרים גונבים NFT ממשתמשים
זירת המסחר השנייה בגודלה בעולם ליצירות אמנות קריפטוגרפיות הכילה פרצה שאיפשרה לנוכלים לקבל גישה לאוספים של משתמשים אחרים ולגנוב להם את כל היצירות
מי שסוחר בנכסי אמנות דיגיטליים (NFT) באחד האתרים הגדולים בתחום נמצא בסכנה לאבד את הנכסים שלו לטובת האקרים, כך מזהירה היום (חמישי) חברת אבטחת המידע הישראלי צ'קפוינט.
צמד חוקרים בחברה, דיקלה ברדה ורומן זאיקין, איתרו פרצת אבטחה חמורה ב-Rarible, זירת המסחר ב-NFT השנייה בגודלה בעולם עם 2 מליון משתמשים חודשיים וסך פעולות מצטבר של 273 מליון דולר ב-2021. הפרצה אפשרה להאקרים להשתלט על ארנקי מטבעות קריפטו ועל יצירות דיגיטליות בפעולה אחת בלבד.
בשבוע שעבר פורסם כי נוכלים הצליחו לגנוב NFT של זמר טייוואני בשם Jay Chou ולמכור אותו תמורת כ-500,000 דולר. לאחר הפרסום החלו החוקרים לצלול לעומקה של הפלטפורמה וניסו לאתר את מקור הפריצה. הם מצאו חולשה חמורה שאיפשרה לתוקפים לשלוח לקורבנות NFT אשר מכיל קוד זדוני, שברגע שהקורבן פותח אותו הדבר עוקף את מערכת האבטחה של הפלטפורמה ומעניק לתוקף גישה מלאה לארנק היצירות של הקורבן, כך שהוא יכול לגנוב את כולן.
צ'ק פוינט דיווחה על החולשה ל-Rarible, וקישרה אותה לתקיפות האחרונות, ובאתר אישרו את קיום החולשה ותיקנו אותה.
עוד ב-
"אנו עוקבים בחודשים האחרונים אחר זירות מסחר הקריפטו בכלל, ו-NFT בפרט, ורואים שהעניין הגובר סביבן מלווה בסדרה של תקיפות אפקטיביות, שמובילות לאובדן מליוני דולרים", אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט, שערכה את המחקר. "העובדה שמדובר בפלטפורמות טכנולוגיות יחסית צעירות, שבמקרים רבים לא מקפידות על רמת אבטחה מספקת, מאפשרת להרחיב את היקפי התקיפות לסחר חליפין חדש המגלגל מאות מליוני דולרים. בזירות כאלו, המבוססות על 'Web 3.0', גם חולשה יחסית פשוטה יכולה להוביל להשתלטות מוחלטת על חשבון. אם כל העוסקים בדבר לא יקפידו על רמת אבטחה נדרשת – אנחנו נראה גניבות בהיקפים חסרי תקדים מאנשים שעוברים למסחר קריפטו ולא מבינים את רמת החשיפה שלהם. אנחנו ממליצים למי שסוחר ב-NFT ובקריפטו להגביר את תשומת הלב ולנהל שני ארנקים למסחר: אחד עם מטבעות הקריפטו שלכם ואחר עבור פעולות ספציפיות. אל תשימו את כל הביצים בסל אחד. כך, אם ארנק הפעולות נפרץ, לא איבדתם את הכל".
החברה סיפקה גם מספר טיפים למסחר בטוח בזירות NFT: לא לאשר כל בקשה באופן אוטומטי, לבדוק את הבקשות המגיעות ולשקול אם הן נראות חשודות או חריגות, ואם המשתמש נתקל בספק – לדחות את הבקשה.
החברה סיפקה גם מספר טיפים למסחר בטוח בזירות NFT: לא לאשר כל בקשה באופן אוטומטי, לבדוק את הבקשות המגיעות ולשקול אם הן נראות חשודות או חריגות, ואם המשתמש נתקל בספק – לדחות את הבקשה.
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה