Mercado fechará em 31 mins
  • BOVESPA

    106.171,19
    -2.618,14 (-2,41%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.205,98
    -1.258,05 (-2,44%)
     
  • PETROLEO CRU

    109,05
    -3,35 (-2,98%)
     
  • OURO

    1.819,60
    +0,70 (+0,04%)
     
  • BTC-USD

    29.214,01
    -961,17 (-3,19%)
     
  • CMC Crypto 200

    653,48
    -17,20 (-2,56%)
     
  • S&P500

    3.915,85
    -173,00 (-4,23%)
     
  • DOW JONES

    31.415,00
    -1.239,59 (-3,80%)
     
  • FTSE

    7.438,09
    -80,26 (-1,07%)
     
  • HANG SENG

    20.644,28
    +41,76 (+0,20%)
     
  • NIKKEI

    26.911,20
    +251,45 (+0,94%)
     
  • NASDAQ

    11.938,25
    -622,00 (-4,95%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2193
    +0,0089 (+0,17%)
     

Falha permitia o roubo de carteiras em um dos maiores mercados de NFT do mundo

·2 min de leitura

Uma brecha de alta gravidade no Rarible, um dos maiores marketplaces de NFT do mundo, poderia permitir o roubo de imagens e carteiras dos clientes. A vulnerabilidade envolvia o envio de um token malicioso para as vítimas, a partir de uma falha de design no serviço, que levava à concessão de permissões que permitiam a terceiros assumir controle dos ativos de um usuário cadastrado na plataforma.

A abertura foi descoberta pelos pesquisadores em segurança da Check Point depois que o cantor taiwanês Jay Chou foi vítima do golpe, levando à perda de um NFT da famosa coleção Bored Ape Yacht Club. A imagem, mais tarde, foi revendida no próprio marketplace por US$ 500 mil, o que levou os especialistas a investigarem a Rarible e descobrirem a falha, que poderia atingir outros donos de tokens do tipo.

O ataque acontecia a partir de NFTs maliciosos que poderiam ser disponibilizados pelos criminosos na própria loja online. A partir de um link enviado em ataque de phishing ou pela busca direta, as vítimas em potencial poderiam ter contato com o arquivo, que executa um código JavaScript e pede permissões à vítima; caso concedidas, os bandidos passam a ter acesso à carteira do usuário, possibilitando a transferência de fundos, o roubo de informações e a revenda de tokens.

Quando falamos de um marketplace com mais de dois milhões de usuários ativos por mês e volume de negócios superior a US$ 273 milhões (quase R$ 1,3 bilhão na conversão atual) em 2021, a abertura assume novos ares de gravidade. A plataforma também é atrativa por oferecer comissões de até 50% aos donos dos NFTs, em caso de revenda no mercado secundário, e aponta seu uso constante por usuários menos desconfiados e mais familiarizados com as transações desse segmento.

<em>Marketplace Rarible tinha falha de design que permitia o roubo de NFTs e carteiras dos usuários; brecha foi corrigida, supostamente, antes de ser explorada em massa pelos criminosos (Imagem: Reprodução/Check Point)</em>
Marketplace Rarible tinha falha de design que permitia o roubo de NFTs e carteiras dos usuários; brecha foi corrigida, supostamente, antes de ser explorada em massa pelos criminosos (Imagem: Reprodução/Check Point)

Os detalhes da falha de design não foram divulgados, enquanto a Rarible foi informada sobre o caso e já implementou mitigações para que a brecha deixasse de existir. O relatório da Check Point sobre o caso não fala em explorações ativas da vulnerabilidade, dando a entender que ela não foi usada amplamente por cibercriminosos antes da correção.

“Continuamos verificando grandes esforços dos bandidos em lucrar a partir da moeda digital, principalmente em marketplaces de NFT, onde as implicações podem ser extremas”, afirma Oded Vanunu, head de pesquisa de vulnerabilidade de produtos da Check Point. Segundo ele, aumentar a sinergia entre criptomoedas e segurança é um dos focos de estudo dos especialistas no momento, principalmente com foco em maior conscientização e minimização de perdas em caso de exploração bem-sucedida.

Para evitar golpes desse tipo, a recomendação é que os usuários sejam cautelosos com marketplaces e links de assinatura de NFTs. É importante se certificar da autenticidade dos tokens oferecidos antes de conceder permissões e entrar em contato com o suporte caso necessário, mantando também um olho vivo a tokens já aprovados que possam levar a explorações maliciosas.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos