Une faille de sécurité potentiellement majeure a été découverte dans Rarible, un marché populaire pour les jetons non fongibles (NFT), ce qui pourrait conduire les utilisateurs à perdre non seulement leurs NFT, mais également la crypto directement depuis leur portefeuille.

Un rapport de Check Point Research (CPR) a identifié une vulnérabilité qui permettrait à un attaquant potentiel de voler les actifs numériques de quelqu'un en une seule transaction. Le pire, c'est que tout se passerait sur le marché lui-même, un endroit où les gens en général se sentiraient moins méfiants.

Selon le rapport du CPR, la méthodologie est simple et comprend la création d'un "NFT malveillant". Si quelqu'un tombait dessus et cliquait dessus, le NFT malveillant exécuterait du code JavaScript pour tenter d'envoyer une requête setApprovalForAll à la victime.

NFT malveillant

Si la victime envoie les demandes, elle accordera au NFT malveillant un accès complet à votre terminal.

« En octobre de l'année dernière, nous avons découvert des vulnérabilités de sécurité critiques dans OpenSea, le plus grand marché NFT au monde. Nous avons maintenant identifié des vulnérabilités similaires dans Rarible », a déclaré Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point Software.

« En termes de sécurité, il existe encore un grand écart entre les infrastructures Web2 et Web3. Toute petite vulnérabilité ouvre une porte dérobée aux cybercriminels pour détourner les portefeuilles cryptographiques dans les coulisses. Nous sommes toujours dans un état où les marchés qui combinent les protocoles Web3 manquent d'une solide pratique de sécurité. Les implications qui suivent un piratage cryptographique peuvent être extrêmes. Nous avons vu des millions de dollars détournés des utilisateurs des marchés qui combinent les technologies de la blockchain.

L'année dernière, Rarible avait un volume de transactions de plus de 273 millions d'euros, ce qui en fait l'un des plus grands marchés NFT de la planète.

La société a informé le marché de sa découverte, affirmant qu'elle "estime que Rarible aura une solution en place au moment de cette publication". Nous avons contacté Rarible pour voir si c'est réellement le cas, et nous mettrons à jour l'article en conséquence.

Cependant, comme c'est le week-end de Pâques, cela pourrait prendre quelques jours avant d'entendre Rarible.

"Actuellement, les utilisateurs doivent gérer deux types de portefeuilles : un pour la plupart de leurs crypto-monnaies et un pour des transactions spécifiques uniquement", a poursuivi Vanunu.

"Si le portefeuille pour des transactions spécifiques est compromis, les utilisateurs peuvent toujours être dans une position où ils ne perdent pas tout."

Share