A Check Point Research (CPR) identificou uma falha de segurança na Rarible, um dos maiores marketplaces de NFTs do mundo. Se fosse explorada, a falha permitiria a um atacante roubar NFTs e carteiras digitais em uma só transação. Com mais de 2 milhões de usuários ativos por mês, o ataque teria início na própria plataforma da Rarible, cuja vítima receberia um link para um NFT malicioso ou lhe seria pedido clicar sobre o link em uma pesquisa no marketplace. A CPR informou de imediato à Rarible a respeito dessas descobertas quanto à vulnerabilidade.
Falha se segurança na Raribe
Em 2021, a Rarible registrou um volume de negócios superior a US 273 milhões (aprox. R$ 1,27 bi), tornando a plataforma um dos maiores marketplaces de NFT do mundo, pois também suporta três blockchains com mais de 400 mil NFTs cunhados.
Além disso, a Rarible oferece aos criadores de NFT um grande potencial de ganhos por meio de royalties, jpa que esses criadores podem ganhar até 50% em royalties sempre que alguém revender seu NFT no mercado secundário.
Os pesquisadores da Check Point Research encontraram uma falha de design no marketplace que pode permitir que atacantes assumam as carteiras de criptomoedas dos usuários, induzindo-os a clicar em um NFT malicioso e assumir o controle total de sua carteira, incluindo fundos.
Felizmente, a CPR alertou a Rarible sobre esse risco potencial e, com a colaboração dos pesquisadores, identificou o bug e instalou uma solução. Dessa forma, agora, os usuários não precisam mais se preocupar com a falha de segurança.
Metodologia do ataque
A CPR definiu a metodologia do ataque da seguinte forma: Primeiro a vítima recebe um link para o NFT malicioso ou clica no mesmo fazendo uma pesquisa no marketplace, depois o NFT malicioso executa um código JavaScript e tenta enviar um pedido de permissão à vítima, por último, a vítima aceita o pedido, dando ao atacante acesso total ao Token do NFT ou da criptomoeda.
A divisão CPR compartilhou as suas descobertas da falha de segurança com a Rarible no dia 5 de abril de 2022. A plataforma identificou a falha de segurança e a CPR acredita que já há uma correção implementada, garantindo a segurança dos usuários.
Dicas de segurança da Check Point
A CPR recomenda aos usuários para serem cautelosos e estarem atentos quando recebem pedidos de assinatura mesmo que provenham do próprio marketplace. Antes de aprovar um pedido, os usuários devem rever cuidadosamente o que se está pedindo, e considerar se é um pedido normal ou, se pelo contrário, é suspeito. Em caso de dúvida, os usuários são aconselhados a rejeitar o pedido e examiná-lo melhor antes de fornecer qualquer tipo de autorização.
A recomendação é ainda para que os usuários revejam e revoguem as aprovações de tokens por meio do link Ethereum Token Approval. Seguindo essas medidas de segurança, a empresa acredita que os usuários podem garantir uma camada extra de segurança.