NFTs en Rarible expuestos por fallo de seguridad

El marketplace de NFTs Rarible fue víctima de un ataque: un fallo de seguridad pone en riesgo a sus más de 2.000.000 de usuarios activos.

 

Una vez más se confirma que las fechas que pueden generar algunos días libres, festivos o feriados en alguna parte del mundo requieren de vigilancia extra. En todas partes. 

No sólo personas y empresas deben preocuparse. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point  Software Technologies ha encendido las alarmas pues un fallo de seguridad en Rarible, el mercado de NFTs podría haber provocado el robo de monederos de criptomonedas. 

Cabe recordar que Rarible es uno de los más importantes mercados de su tipo, con más de dos millones de usuarios activos mensuales. 

Aunque todavía se está verificando, si la vulnerabilidad fue explotada, este fallo pudo haber permitido a un ciberdelincuente robar las NFTs y las carteras de criptomonedas de varios usuarios en una sola transacción.

Todo ello confiando en que, en temporadas festivas, las personas no están pendientes de revisar sus cuentas y, mucho menos, sus NFTs. 

A menos que las necesiten, lo cual es una importante ventana de oportunidad. 

El problema de los activos poco líquidos 

Aunque no forma parte del informe de CPR, lo cierto es que la frecuencia con la que están ocurriendo los ataques a circuitos de NFTs apuntan a que los ciberdelincuentes intuyen que pueden hacer mucho daño antes de que alguien se dé cuenta pues, como pasa con los activos poco líquidos, los mismos son mecanismo de ahorro e inversión que no se están revisando con frecuencia. 

En el caso de Rarible, este es un marketplace de NFTs que permite a los usuarios crear, comprar y vender arte digital de NFTs como fotografías, juegos y memes. 

La empresa informó de un volumen de transacciones de más de US$ 273 millones en 2021 y de más de 2.1 millones de usuarios. 

Esto lo convierte en uno de los mayores mercados de NFTs del mundo, ya que también admite tres blockchains con más de 400.000 NFT acuñados.

Además, Rarible proporciona a los creadores de NFTs un gran potencial de ingresos a través de los derechos de autor: los creadores pueden ganar hasta un 50% en derechos de autor cada vez que alguien revende su NFT en el mercado secundario.

Pese a todo esto, los investigadores de CPR encontraron un fallo de diseño dentro del marketplace que puede permitir a los atacantes hacerse con las carteras de criptomonedas de los usuarios, atrayéndolos a hacer clic en un NFTs malicioso, y tomar el control total de su cuenta, incluyendo los fondos. 

Más vale tarde que nunca… 

Rarible pudo ser alertada de la situación gracias a que el 1 de abril, Check Point Research fue testigo de un ataque similar a Jay Chou, un famoso cantante taiwanés.

Fue engañado para enviar una transacción que robó su BoardAppe NFT 3738, el cual más tarde se vendió por US$ 500.000 en el mercado. 

En este sentido, la víctima de este método puede ser cualquier poseedor de criptos/NFTs. 

Los hallazgos actuales de CPR se basan en una investigación previa realizada en octubre de 2021, en la que encontraron fallos de seguridad críticos en OpenSea, el mayor mercado de NFT del mundo. 

Si no se corrigen, las vulnerabilidades descubiertas en la plataforma de OpenSea podrían permitir a los hackers apropiarse de las cuentas de los usuarios y robar carteras de criptodivisas enteras mediante la creación de NFTs maliciosas.

Metodología de un posible ataque

1. La víctima recibe un enlace a la NFT maliciosa o navega por el mercado y hace clic en ella.
2. La NFT maliciosa ejecuta código JavaScript e intenta enviar una solicitud setApprovalForAll a la víctima.
3. La víctima envía la solicitud y concede el acceso completo a esta NFT/Crypto Token al atacante.

En defensa propia

Las implicaciones tras un hackeo de criptomonedas pueden ser extremas. Hemos visto el secuestro de millones de dólares de usuarios de mercados que combinan tecnologías blockchain.

Actualmente, se espera un aumento continuo de los robos de criptodivisas. 

Los usuarios deben prestar atención. En la actualidad, tienen que gestionar dos tipos de carteras: una para la mayor parte de sus criptomonedas y otra sólo para transacciones específicas. 

En caso de que la cartera para transacciones específicas se vea comprometida, los usuarios pueden seguir estando en una posición en la que no lo pierdan todo. Seguiremos investigando las implicaciones de seguridad de la nueva tecnología blockchain”, alerta Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software.

Los usuarios de NFT deben ser conscientes de que hay varias solicitudes de monedero – algunas de ellas se utilizan sólo para conectarlo, pero otras pueden proporcionar acceso completo a sus NFT y tokens.

Consejos de seguridad ara poseedores de NFTs 

1. Tener cuidado y estar atento siempre que se reciban solicitudes de firma incluso dentro del propio mercado. 
2. Antes de aprobar una solicitud, los usuarios deben revisar cuidadosamente lo que se solicita, y considerar si la misma parece anormal o sospechosa. 
3. Si hay dudas, se aconseja a los usuarios rechazar la solicitud y examinarla más a fondo antes de dar cualquier tipo de autorización. 
4. Se aconseja a los usuarios que revisen y anulen las aprobaciones de tokens en este enlace: https://etherscan.io/tokenapprovalchecker.