Rarible に重大なセキュリティ上の欠陥が発見される
サイバーセキュリティソリューションであるCheckPointの研究者は、仮想通貨ウォレットの盗難につながる可能性のあるNFTマーケットプレイスRaribleのセキュリティ上の欠陥を特定した事が新たに分かった。
新たに発見された脆弱性が悪用された場合、犯罪者側は1回のトランザクションでユーザーのNFTと仮想通貨ウォレットを盗める。同研究者は、攻撃の成功はRaribleの市場内の悪意あるNFTからもたらされたと述べている。この市場では、人々は疑う事をせず、トランザクションの送信にも慣れていない。ちなみに…、このプラットフォームは昨年2億7,300万ドル(約351億円)の取引量を報告し、月間アクティブユーザー数は200万人を超え、世界最大のNFTマーケットプレイスの1つとなっている。CheckPointによる調査結果は、4月5日にRaribleに直ちに開示されており、その中でセキュリティ上の欠陥が認められており、同社製品脆弱性調査の責任者であるオデット・べニュニュ(Oded Vanunu)氏は、次のように述べている。
私たちは、仮想通貨、特にNFT市場から大きな利益を得ようとする、サイバー犯罪者による多大な努力を今でも見ています。昨年(2021年)10月、世界最大のNFTマーケットプレイスであるOpenSeaで重大なセキュリティ上の欠陥を発見しました。現在、Raribleで同様の脆弱性を特定しました。
アカウントを乗っ取り仮想通貨を盗む
パッチを適用しないままにしておくと、OpenSeaで見つかった重大なセキュリティ上の欠陥により、ハッカーが悪意のあるNFTを作成し、ユーザーアカウントを乗っ取り、仮想通貨ウォレット全体を盗めた可能性がある。
Raribleの最新調査により、Check Pointは、攻撃者側は、マーケットプレイスの閲覧またはリンクの受信のいずれかを介して、被害者が悪意のあるNFTへのリンクをクリックすることに依存すると述べている。次に、悪意のあるNFTはJavaScriptコードを実行し、被害者にsetApprovalForAll(bool_承認済みアドレス演算子)リクエストを送信しようとする。被害者はリクエストを送信し、攻撃者にNFTまたは仮想通貨へのフルアクセスを許可するという。
べニュニュ氏は、Web2とWeb3のインフラストラクチャーの間にはまだ「大きなギャップ」があり、小さな脆弱性があれば、サイバー犯罪者が舞台裏で仮想通貨ウォレットを乗っ取るためのバックドアを開くとして、次のように説明している。
私たちはまだWeb3プロトコルを組み合わせたマーケットプレイスが健全なセキュリティ慣行を欠いている状態にあります。仮想通貨ハッキングに続く影響は極端な場合があり、ブロックチェーンテクノロジーを組み合わせたマーケットプレイスのユーザーから何百万ドルものハイジャックが発生しました。
ユーザーは2種類のウォレットを
同社は、ユーザーはマーケットプレイス自体の中でも、署名の新しいリクエストを受け取るときは常に注意を払い、注意を払い、リクエストを受け取る前に何がリクエストされているかを注意深く確認する必要があると述べている。
疑わしい点がある場合、ユーザーはリクエストを拒否したうえで、承認を与える前にさらなる調査を勧めている。トークンの承認は、Etherscanトークン承認ツールを使用して確認および取り消すこともできる。
同社は、仮想通貨の盗難が継続的に増加すると予想しており、ユーザーはより、注意を払わなければならない。べニュニュ氏は、ユーザーは現在、2種類のウォレットを管理する必要があり、1つはほとんどの仮想通貨用で通常のウォレットとして、そしてもう1つは特定トランザクション専用で保有するべきだと述べており、次のように語っている。
特定のトランザクションのウォレットが危険にさらされた場合でも、ユーザーはすべてを失なわずにいられる。CPRは、ブロックチェーンテクノロジーの新しいフロンティアのセキュリティへの影響を引き続き調査します。