Un fallo de diseño dentro de Rarible, uno de los marketplaces de NFTs más populares a día de hoy, puede servir a los ciberdelincuentes para acceder y apropiarse de los tokens no fungibles y las carteras de criptomonedas de varios usuarios en una sola transacción, a través de un NFT malicioso dentro de la propia plataforma.
Investigadores de Check Point Research han descubierto un fallo de diseño dentro de Rarible, mercado de tokens no fungibles con más de dos millones de usuarios activos al mes, que de ser explotada, habría permitido a un ciberdelincuente robar las NFT y las carteras de criptomonedas de los usuarios con tan solo hacer clic en un NFT malicioso.
Según explican desde la compañía de ciberseguridad, los tokens no fungibles tienen un estándar que proporciona una funcionalidad básica para el seguimiento y la transferencia de los NFT. Este estándar cuenta con una función llamada setApprovalForAll, que designa quién está autorizado a controlar todos los tokens y que es creado por plataformas como Rarible u OpenSea, para gestionar los NFT en nombre de los usuarios.
Esta función, explican, es muy peligrosa por su diseño, ya que puede permitir que cualquiera controle los NFT de los usuarios si estos son engañados para que se firmen. En este sentido, recuerdan que no siempre estos saben qué permisos dan cuando firman una transacción.
Los hallazgos actuales, de los que Rarible ya es consciente y ha implantado una solución, se basan en una investigación previa realizada en octubre de 2021, en la que encontraron fallos de seguridad críticos en Open Sea, el considerado mayor mercado de NFT a nivel global. Le siguió el ataque al cantante taiwanés Jay Chou el pasado 1 de abril, que fue engañado para enviar una transacción que robó su BoardAppe NFT 3738 que más tarde fue vendido por 500.000 dólares.
“En términos de seguridad, todavía existe una enorme brecha entre la infraestructura Web2 y Web3”, asegura Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software.
“Todavía estamos en un estado en el que los mercados que combinan protocolos Web3 carecen de una práctica de seguridad sólida. Las implicaciones tras un hackeo de criptomonedas pueden ser extremas. Hemos visto el secuestro de millones de dólares de usuarios de mercados que combinan tecnologías blockchain. Actualmente, espero ver un aumento continuo de los robos de criptodivisas”, afirma.
Desde la firma de investigación recomiendan a los usuarios prestar atención cuando se reciban solicitudes de firma dentro del propio marketplace y antes de aprobarlas, revisar cuidadosamente lo que se solicita y considerar si parece anormal o sospechosa. Si hay dudas, aconsejan rechazarla. Asimismo, pueden revisar y anular las aprobaciones en etherscan.io/tokenapprovalchecker.
