crypto

ရှားရှားပါးပါး NFT စျေးကွက်တွင် အားနည်းချက်ကို Check Point – crypto.news မှ ဖော်ထုတ်သည်။

04/14/2022
Etcoinum သတင်း Bitcoin

ဆိုက်ဘာလုံခြုံရေးဆော့ဖ်ဝဲကုမ္ပဏီ Check Point မှသုတေသီများသည် Rarible NFT စျေးကွက်တွင် အားနည်းချက်တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ၎င်း၏ အကြမ်းဖျင်းအားဖြင့် လစဉ်အသုံးပြုသူ နှစ်သန်းခန့်သည် ဟက်ကာမှ ကွပ်မျက်ခဲ့မည်ဆိုပါက ၎င်းတို့၏ NFTs များ ဆုံးရှုံးသွားမည်ဖြစ်သည်။

Check Point ၏ တာဝန်ခံထုတ်ဖော်မှု

"အောင်မြင်သောတိုက်ခိုက်မှုသည် အသုံးပြုသူများသည် သံသယနည်းပါးပြီး ငွေပေးငွေယူတင်ပြခြင်းနှင့် အကျွမ်းတဝင်ရှိသော Rarible ၏စျေးကွက်တွင်းရှိ အန္တရာယ်ရှိသော NFT မှလာလိမ့်မည်" ဟု Check Point Research က မှတ်ချက်ပြုသည်။

NFT EIP-721 စံနှုန်း၏တစ်စိတ်တစ်ပိုင်းဖြစ်သော “setApprovalForAll” လုပ်ဆောင်ချက်နှင့် ပြဿနာမှာ အခြားပါတီအား NFT ပိုင်ဆိုင်မှုများအပေါ် အပြည့်အဝထိန်းချုပ်မှုပေးဆောင်ခြင်းပင်ဖြစ်သည်။ Phishing တိုက်ခိုက်မှုများသည် ၎င်းတို့၏ သားကောင်များ၏ ပိုင်ဆိုင်မှုများကို ခိုးယူရန် ဒီဇိုင်းထုတ်နိုင်သည်။ ၎င်းတို့သည် တရားဝင်အရင်းအမြစ်မှဖြစ်ပုံရသည့် ငွေပေးငွေယူတောင်းဆိုချက်တစ်ခုကို လက်မှတ်ရေးထိုးရန် ၎င်းတို့အား ဆွဲဆောင်နိုင်သည်။

Rarible တွင် လုံခြုံရေးပြဿနာတစ်ခုကြောင့် သုံးစွဲသူများသည် ၎င်းတို့အား အန္တရာယ်ရှိနိုင်သော အကြောင်းအရာများကို မစစ်ဆေးဘဲ 100MB အထိ မီဒီယာဖိုင်များကို အပ်လုဒ်လုပ်နိုင်သည်။ Check Point မှ သုတေသီများသည် အန္တရာယ်ရှိသော JavaScript payload ပါရှိသော SVG ပုံတစ်ခုကို ဖန်တီးခြင်းဖြင့် ဤပြဿနာကို အသုံးချခဲ့သည်။

ပစ်မှတ်သည် NFT ရုပ်ပုံ သို့မဟုတ် IPFS လင့်ခ်ကို နှိပ်ပါက စနစ်သည် ကုဒ်တစ်ခု လုပ်ဆောင်မည်ဖြစ်သည်။ ထို့ကြောင့်၊ ၎င်းတို့၏ဘရောက်ဆာတွင် ငွေပေးငွေယူတောင်းဆိုမှုကို အစပျိုးပါ။ ပစ်မှတ်သည် ငွေပေးငွေယူ၏အသေးစိတ်အချက်အလက်များကို နားမလည်ပါက၊ တောင်းဆိုချက်ကို အတည်ပြုနိုင်သည်။ ၎င်းသည် တိုက်ခိုက်သူအား ၎င်းတို့၏စုစည်းမှုတစ်ခုလုံးကို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည်။ ထို့နောက် တိုက်ခိုက်သူသည် NFTs များကိုခိုးယူရန်နှင့် ၎င်းတို့၏ပိုက်ဆံအိတ်သို့လွှဲပြောင်းရန် "transferFrom" လုပ်ဆောင်ချက်ကို အသုံးပြုမည်ဖြစ်သည်။ ဤလုပ်ဆောင်ချက်သည် နောက်ပြန်လှည့်၍မရကြောင်း သတိပြုပါ။

image ကို

ပလက်ဖောင်း CPR သည် ဧပြီလ 5 ရက်နေ့တွင် ပြဿနာအကြောင်း Rarible ကို အသိပေးခဲ့သည်။ ကုမ္ပဏီသည် ပြဿနာကို ချက်ချင်းအသိအမှတ်ပြုပြီး ဖြေရှင်းခဲ့သည်။

NFT ခိုးယူမှုသည် အန္တရာယ်တစ်ခုဖြစ်သည်။

Check Point Software မှ လုံခြုံရေးသုတေသီ Oded Vanunu က ထိုင်ဝမ်အဆိုတော် Jay Chou သည် သားကောင်ဖြစ်လာပြီးနောက် ကုမ္ပဏီက ဤတိုက်ခိုက်မှုကို စိတ်ဝင်စားလာကြောင်း ပြောကြားခဲ့သည်။ Chou ၏ BoredApe #3738 NFT သည် ဖေဖော်ဝါရီ လအစတွင် ဆိုးရွားသော ငွေပေးငွေယူဖြင့် ပွတ်ဆွဲခံခဲ့ရသည်။

"ဤ NFT ခိုးယူခံရသည်ကိုကျွန်ုပ်တို့သိမြင်သည်နှင့်နောက်ထပ်စုံစမ်းစစ်ဆေးရန်ကျွန်ုပ်တို့အားလှုံ့ဆော်ပေးသည်" ဟု Vanunu မှပြောကြားခဲ့သည်။ ထိုကဲ့သို့သော အားနည်းချက်သည် အခြားသော ပလပ်ဖောင်းများစွာတွင် ဖြစ်နိုင်ကြောင်း ၎င်းက ထပ်လောင်းပြောသည်။ SVG ဖိုင်များ လွှင့်တင်ခြင်းဆိုင်ရာ ရွေးချယ်မှုကို ဖယ်ရှားပေးသည့် Rarible မှ အားနည်းချက်ကို အမြန်ပြုပြင်ခဲ့သည်။ ၎င်းသည် အန္တရာယ်ရှိသော NFT တိုက်ခိုက်မှုရွေးချယ်မှုကို ရပ်ဆိုင်းလိုက်ကြောင်း Vanunu က ပြောကြားခဲ့သည်။

Vanunu ၏အဆိုအရ၊ ပလပ်ဖောင်းပေါ်ရှိမည်သည့်အသုံးပြုသူမဆိုလုံခြုံရေးချို့ယွင်းချက်တစ်ခုဖြစ်ပေါ်လာနိုင်သည်။ သို့သော် မည်မျှဆုံးရှုံးနိုင်သည်ကိုမူ မခန့်မှန်းနိုင်ခဲ့ပေ။ Arthur Cheong ၏ ပိုက်ဆံအိတ်ကို အလားတူ တိုက်ခိုက်မှုကြောင့် ဒေါ်လာ ၁.၈၆ သန်းကျော် ဆုံးရှုံးခဲ့သည်။ ထို့ကြောင့်၊ အသုံးပြုသူများသည် NFT ပလပ်ဖောင်းများတွင် တောင်းဆိုချက်များကို အတည်ပြုသည့်အခါ အမြဲတမ်း ဝီရိယရှိသင့်သည်။ ၎င်းတို့သည် ဖြစ်နိုင်သည့်အခါတိုင်း Etherscan ၏ တောင်းဆိုမှု ခြေရာခံကိရိယာကိုလည်း အသုံးပြုသင့်သည်။

သင့်ပိုင်ဆိုင်မှုများကို ကာကွယ်ရန် လိုအပ်သည်။

Check Point သည် မနှစ်က OpenSea တွင် အလားတူ ချို့ယွင်းချက်ကို ရှာဖွေတွေ့ရှိသောကြောင့် ဤပြဿနာသည် Rarible အတွက် ထူးခြားသည်မဟုတ်ကြောင်း သတိပြုရန် အရေးကြီးပါသည်။ NFT ငွေပေးငွေယူစံနှုန်း၏ ပြဿနာမှာ ပိုင်ဆိုင်မှုကိုင်ဆောင်သူများအတွက် ၎င်းတို့၏ စစ်မှန်မှုကို ဆုံးဖြတ်ရန် ခက်ခဲစေသည်။

ထို့ကြောင့် မည်သည့်အရာပါ၀င်သည်ဆိုသည်ကို သေချာသိရှိနိုင်စေရန် ဂရုတစိုက် လက်မှတ်ရေးထိုးရန် တောင်းဆိုထားသော မည်သည့်အရာကိုမဆို စစ်ဆေးသင့်သည်။ ထို့အပြင် ၎င်းတွင် မည်သည့်အရာပါ၀င်သည်ကို သင်သေချာမသိပါက မည်သည့်လက်မှတ်ထိုးခြင်းကိုမှ ရှောင်ကြဉ်ပါ။ အသုံးပြုသူများသည် ၎င်းတို့၏ယခင် တိုကင်အတည်ပြုချက်များကို ကြည့်ရှုပြီး ဤတိုကင်အတည်ပြုချက်စစ်ဆေးသည့်ကိရိယာကိုအသုံးပြုခြင်းဖြင့် လိမ်လည်ပုံပေါက်သည့်အရာများကို ပြန်လည်ရုပ်သိမ်းရန် အကြံပြုအပ်ပါသည်။

ဤတိုက်ခိုက်မှုများ၏ သဘောသဘာဝကြောင့် ၎င်းတို့သည် ပြီးမြောက်ရန် အချိန်ပိုကြာနိုင်ပြီး ပိုင်ဆိုင်မှုလွှဲပြောင်းမှုများကို ထိခိုက်စေနိုင်သည်။ Blockchain နည်းပညာသည် ဆက်လက်တိုးတက်ပြောင်းလဲလာသည်နှင့်အမျှ ရင်းနှီးမြှုပ်နှံသူများသည် ၎င်းတို့၏ပိုင်ဆိုင်မှုများကို ကာကွယ်ရာတွင် ပိုမိုသတိရှိရန် လိုအပ်ပါသည်။

Open Sea က ဒုက္ခရောက်နေတယ်။

တရားလိုနှစ်ဦး၏အဆိုအရ OpenSea သည် ဟက်ကာများ ခိုးယူနိုင်သောမဟုတ်သော တိုကင်များ (NFTs) များကို ခိုးယူခွင့်ပြုသည့် လုံခြုံရေးအားနည်းချက်များကို ကိုင်တွယ်ဖြေရှင်းရန် ပျက်ကွက်ခဲ့သည်။ ယင်းပြဿနာများကို ဖြေရှင်းရန် ပျက်ကွက်ခြင်းကြောင့် နစ်နာကြေး ဒေါ်လာ ရာနှင့်ချီ ရှိသည်။

OpenSea သည် ၎င်းတို့၏ NFT များကို ကာကွယ်ရန် ၎င်း၏အသုံးပြုသူများအပေါ် တာဝန်ပေးထားကြောင်း အခြားအသုံးပြုသူတစ်ဦးက စောဒကတက်ခဲ့သည်။ NFT မြင်ကွင်းသည် လှည့်စားမှုများနှင့် လိမ်လည်မှုများဖြင့် ဆက်လက်ရှိနေသဖြင့် ၎င်းသည် ထွက်ပေါ်လာသည်။

တရားစွဲဆိုခံရသူနှစ်ဦးမှ OpenSea ကို တရားစွဲဆိုခြင်းသည် NFT နှင့် ပတ်သက်သည့် အရေးဆိုမှုများကို ကိုင်တွယ်ခြင်းနှင့်ပတ်သက်၍ စံနမူနာပြနိုင်သည်။ ဗဟိုချုပ်ကိုင်မှုအာဏာမရှိလျှင် တရားရုံးစနစ်သည် ယင်းအမှုများကို ကိုင်တွယ်ရာတွင် အကျိုးရှိမည်ဖြစ်သည်။

အရင်းအမြစ်- https://crypto.news/rarible-nft-marketplace-vulnerability-check-point/