A Check Point identificou uma falha de segurança na Rarible, um marketplace de NFT com mais de dois milhões de usuários ativos por mês. Se explorada, a vulnerabilidade permitia ao cibercriminosos roubar NFTs de usuários de carteiras digitais em uma única transação. Um ataque desse tipo executado com sucesso viria de um NFT malicioso encontrado na própria plataforma da Rarible, onde os usuários são menos desconfiados e estão mais familiarizados com o envio de transações. A CPR informou de imediato à Rarible a respeito dessas descobertas quanto à vulnerabilidade.
Em 2021, a Rarible registrou um volume de negócios superior a US$ 273 milhões, tornando a plataforma um dos maiores marketplaces de NFT do mundo, pois também suporta três blockchains com mais de 400 mil NFTs cunhados. Além disso, a Rarible oferece aos criadores de NFT um grande potencial de ganhos por meio de royalties, pois esses criadores podem ganhar até 50% em royalties sempre que alguém revender seu NFT no mercado secundário.
Por sua vez, os pesquisadores da Check Point encontraram uma falha de design no marketplace que pode permitir que atacantes assumam as carteiras de criptomoedas dos usuários, induzindo-os a clicar em um NFT malicioso e assumir o controle total de sua carteira, incluindo fundos. Diante disso, a Rarible foi alertada sobre esse risco potencial e, com a colaboração dos pesquisadores, identificou o bug e instalou uma solução.
Metodologia do ataque
A CPR definiu a metodologia do ataque da seguinte forma:
1.Vítima recebe um link para o NFT malicioso ou clica no mesmo fazendo uma pesquisa no marketplace.
2.O NFT malicioso executa um código JavaScript e tenta enviar um pedido de permissão à vítima.
3.A vítima aceita o pedido, dando ao atacante acesso total ao Token do NFT ou da criptomoeda.
Razões para investigar
No dia 1 de abril, a CPR observou um ataque semelhante contra Jay Chou, um famoso cantor taiwanês. Ele foi motivado a submeter uma transação que resultou no roubo do NFT 3738 da coleção BoardAppe, vendido mais tarde por US$ 500 mil no marketplace. Qualquer detentor de cripto/NFTs pode ser vítima deste método de ataque, e isso foi o que intrigou os pesquisadores da Check Point Software, levando-os a analisar a plataforma Rarible. Prevenir outros roubos de contas e criptomoedas está, naturalmente, na motivação primordial desta pesquisa.
As descobertas atuais da CPR somam-se à investigação anterior que data de outubro de 2021 na qual foram encontradas falhas de segurança críticas no OpenSea, o maior marketplace de NFT do mundo. Se não fossem corrigidas, as vulnerabilidades identificadas permitiriam que hackers roubassem contas e carteiras digitais completas por meio da criação de NFTs maliciosos.
A divisão CPR compartilhou as suas descobertas com a Rarible no dia 5 de abril de 2022. A plataforma identificou a falha de segurança e a CPR acredita que já há uma correção implementada.
“A CPR tem investido recursos significativos no estudo da forma como a criptomoeda e a segurança se interlaçam. Continuamos verificando grandes esforços por parte dos cibercriminosos no sentido de lucrar a partir da moeda digital, especialmente em marketplaces de NFT. Em outubro do ano passado, identificamos vulnerabilidades de segurança críticas no OpenSea. Agora, vimos vulnerabilidades semelhantes na Rarible. Em termos de segurança, ainda existe uma grande lacuna entre a infraestrutura Web2 e Web3. Qualquer pequena vulnerabilidade abre uma porta de entrada para um cibercriminoso roubar carteiras digitais sem que ninguém perceba”, relata Oded Vanunu, head de pesquisa de vulnerabilidade de produtos da Check Point Software.
Dicas de segurança
• A CPR recomenda aos usuários para serem cautelosos e estarem atentos quando recebem pedidos de assinatura mesmo que provenham do próprio marketplace;
• Antes de aprovar um pedido, os usuários devem rever cuidadosamente o que se está pedindo, e considerar se é um pedido normal ou, se pelo contrário, é suspeito;
• Em caso de dúvida, os usuários são aconselhados a rejeitar o pedido e examiná-lo melhor antes de fornecer qualquer tipo de autorização.
