Se descubrió una falla de seguridad potencialmente importante en Rarible, un mercado popular para tokens no fungibles (NFT), que podría llevar a los usuarios a perder no solo sus NFT, sino también criptomonedas directamente de sus billeteras.
Un informe de Check Point Research (CPR) identificó una vulnerabilidad que permitiría a un atacante potencial robar los activos digitales de alguien en una sola transacción. Lo peor es que todo ocurriría en el propio mercado, un lugar donde la gente en general se sentiría menos sospechosa.
Según el informe de CPR, la metodología es simple e incluye la creación de un «NFT malicioso». Si alguien tropezaba con él y hacía clic en él, el NFT malicioso ejecutaría código JavaScript para intentar enviar una solicitud setApprovalForAll a la víctima.
NFT maliciosos
En caso de que la víctima envíe las solicitudes, otorgará al NFT malicioso acceso completo a su punto final.
“En octubre del año pasado, descubrimos vulnerabilidades de seguridad críticas en OpenSea, el mercado de NFT más grande del mundo. Ahora hemos identificado vulnerabilidades similares en Rarible”, comentó Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Check Point Software.
“En términos de seguridad, todavía existe una gran brecha entre las infraestructuras Web2 y Web3. Cualquier pequeña vulnerabilidad abre una puerta trasera para que los ciberdelincuentes secuestren las billeteras criptográficas entre bastidores. Todavía estamos en un estado en el que los mercados que combinan protocolos Web3 carecen de una sólida práctica de seguridad. Las implicaciones que siguen a un hack criptográfico pueden ser extremas. Hemos visto millones de dólares desviados de usuarios de mercados que combinan tecnologías de cadena de bloques.
El año pasado, Rarible tuvo un volumen comercial de más de €273 millones, lo que lo convierte en uno de los mercados de NFT más grandes del planeta.
La compañía informó al mercado de su descubrimiento y dijo que «cree que Rarible tendrá una solución implementada para el momento de esta publicación». Nos comunicamos con Rarible para ver si ese es realmente el caso, y actualizaremos el artículo en consecuencia.
Sin embargo, dado que es el fin de semana de Pascua, podrían pasar unos días antes de que tengamos noticias de Rarible.
“Actualmente, los usuarios tienen que administrar dos tipos de billeteras: una para la mayoría de sus criptomonedas y otra solo para transacciones específicas”, continuó Vanunu.
«Si la billetera para transacciones específicas se ve comprometida, los usuarios aún pueden estar en una posición en la que no pierden todo».
