दुर्लभ एनएफटी मार्केटप्लेस भेद्यता चेक प्वाइंट द्वारा उजागर हो जाती है – क्रिप्टो.न्यूज

साइबर सुरक्षा सॉफ्टवेयर फर्म चेक प्वाइंट के शोधकर्ताओं ने रारिबल एनएफटी मार्केटप्लेस में एक भेद्यता की पहचान की है। यदि हैकर ने इसे अंजाम दिया होता तो इसके लगभग दो मिलियन सक्रिय मासिक उपयोगकर्ताओं में से हजारों ने अपने एनएफटी खो दिए होते।

चेक प्वाइंट का जिम्मेदार प्रकटीकरण

चेक प्वाइंट रिसर्च ने कहा, "एक सफल हमला रारिबल के बाज़ार के भीतर ही एक दुर्भावनापूर्ण एनएफटी से हुआ होगा, जहां उपयोगकर्ता कम संदिग्ध होते हैं और लेनदेन सबमिट करने से परिचित होते हैं।"

एनएफटी ईआईपी-721 मानक का हिस्सा, "सेटएप्रोवलफॉरऑल" फ़ंक्शन के साथ समस्या यह है कि यह एनएफटी परिसंपत्तियों पर किसी अन्य पक्ष को पूर्ण नियंत्रण देता है। फ़िशिंग हमलों को उनके पीड़ितों की संपत्ति चुराने के लिए डिज़ाइन किया जा सकता है। वे उन्हें ऐसे लेनदेन अनुरोध पर हस्ताक्षर करने के लिए मना सकते हैं जो ऐसा लगता है कि यह किसी वैध स्रोत से आया है।

Rarible में एक सुरक्षा समस्या के कारण, उपयोगकर्ता संभावित रूप से दुर्भावनापूर्ण सामग्री की जाँच किए बिना 100MB तक की मीडिया फ़ाइलें अपलोड कर सकते हैं। चेक प्वाइंट के शोधकर्ताओं ने एक एसवीजी छवि बनाकर इस मुद्दे का फायदा उठाया जिसमें एक दुर्भावनापूर्ण जावास्क्रिप्ट पेलोड था।

यदि लक्ष्य एनएफटी छवि या आईपीएफएस लिंक पर क्लिक करता है तो सिस्टम एक कोड निष्पादित करेगा। इसलिए, उनके ब्राउज़र में लेनदेन अनुरोध ट्रिगर करें। यदि लक्ष्य लेन-देन के विवरण को नहीं समझता है, तो वे अनुरोध को स्वीकार कर सकते हैं। यह हमलावर को उनके संपूर्ण संग्रह तक पहुंचने की अनुमति देता है। इसके बाद हमलावर एनएफटी को चुराने और उन्हें अपने वॉलेट में स्थानांतरित करने के लिए "ट्रांसफरफ्रॉम" कार्रवाई का उपयोग करेगा। ध्यान दें कि यह क्रिया गैर-प्रतिवर्ती है।

प्लेटफ़ॉर्म CPR ने 5 अप्रैल को इस समस्या के बारे में Rarible को सूचित किया। कंपनी ने तुरंत समस्या को स्वीकार किया और ठीक कर दिया।

एनएफटी चोरी एक खतरा है

चेक प्वाइंट सॉफ्टवेयर के एक सुरक्षा शोधकर्ता ओडेड वानुनु ने कहा कि ताइवानी गायक जे चाउ के शिकार बनने के बाद कंपनी को इस हमले में दिलचस्पी हो गई। चाउ के बोरेडएप #3738 एनएफटी को फरवरी की शुरुआत में एक नापाक लेनदेन के माध्यम से स्वाइप किया गया था।

वानुनु ने कहा, "एक बार जब हमने देखा कि यह एनएफटी चोरी हो गया है, तो इसने हमें आगे की जांच करने के लिए प्रोत्साहित किया।" उन्होंने यह भी कहा कि ऐसी भेद्यता कई अन्य प्लेटफार्मों पर भी संभव हो सकती है। Rarible द्वारा भेद्यता को तुरंत ठीक कर दिया गया, जिसने SVG फ़ाइलें अपलोड करने का विकल्प हटा दिया। वानुनु ने कहा, इसने दुर्भावनापूर्ण एनएफटी हमले के विकल्प को समाप्त कर दिया।

वानुनु के अनुसार, प्लेटफ़ॉर्म पर कोई भी उपयोगकर्ता सुरक्षा दोष उत्पन्न कर सकता है। हालाँकि, उन्होंने यह अनुमान नहीं लगाया कि कितना नुकसान हो सकता था। आर्थर चेओंग के बटुए पर इसी तरह के हमले के परिणामस्वरूप $1.86 मिलियन से अधिक का नुकसान हुआ। इसलिए, एनएफटी प्लेटफॉर्म पर अनुरोधों को मंजूरी देते समय उपयोगकर्ताओं को हमेशा मेहनती रहना चाहिए। जब भी संभव हो उन्हें इथरस्कैन के अनुरोध ट्रैकर का भी उपयोग करना चाहिए।

आपकी संपत्ति की सुरक्षा की आवश्यकता

यह ध्यान रखना महत्वपूर्ण है कि यह मुद्दा Rarible के लिए अद्वितीय नहीं है, क्योंकि चेक प्वाइंट ने पिछले साल OpenSea पर इसी तरह की खामी की खोज की थी। एनएफटी लेनदेन मानक के साथ समस्या यह है कि इससे संपत्ति धारकों के लिए उनकी प्रामाणिकता निर्धारित करना मुश्किल हो जाता है।

इसलिए, आपको किसी भी चीज़ की सावधानीपूर्वक जांच करनी चाहिए जिस पर आपसे हस्ताक्षर करने के लिए कहा गया है ताकि यह पता लगाया जा सके कि इसमें क्या शामिल है। इसके अलावा, यदि आप निश्चित नहीं हैं कि इसमें क्या शामिल है तो किसी भी चीज़ पर हस्ताक्षर करने से बचें। यह अनुशंसा की जाती है कि उपयोगकर्ता इस टोकन अनुमोदन चेकर का उपयोग करके अपने पिछले टोकन अनुमोदनों को देखें और जो धोखाधड़ीपूर्ण प्रतीत होते हैं उन्हें रद्द कर दें।

इन हमलों की प्रकृति के कारण, इन्हें पूरा होने में अधिक समय लग सकता है और परिसंपत्तियों के हस्तांतरण पर असर पड़ सकता है। जैसे-जैसे ब्लॉकचेन तकनीक का विकास जारी है, निवेशकों को अपनी संपत्ति की सुरक्षा करते समय अधिक सतर्क रहने की जरूरत है।

खुला सागर संकट में है

दो वादी के अनुसार, OpenSea सुरक्षा कमजोरियों को संबोधित करने में विफल रहा, जिसने हैकर्स को अपूरणीय टोकन (एनएफटी) चुराने की अनुमति दी। इन मुद्दों का समाधान करने में विफलता के कारण सैकड़ों-हजारों डॉलर का नुकसान हुआ।

एक अन्य उपयोगकर्ता ने शिकायत की कि OpenSea अपने उपयोगकर्ताओं पर उनके NFT की सुरक्षा का दायित्व डालता है। ऐसा तब हुआ है जब एनएफटी परिदृश्य लगातार घोटालों और धोखाधड़ी से ग्रस्त है।

दो वादी द्वारा ओपनसी के खिलाफ दायर मुकदमे एनएफटी-संबंधित दावों से निपटने के संबंध में एक मिसाल कायम कर सकते हैं। एक केंद्रीकृत प्राधिकरण की अनुपस्थिति में, अदालत प्रणाली इन मामलों को संभालने में फायदेमंद होगी।