罕见的NFT市场漏洞可能让攻击者劫持加密钱包

网络安全研究人员披露了稀有不可替代代币（NFT）市场中一个现已修复的安全漏洞，如果成功利用该漏洞，可能会导致账户接管和加密货币资产被盗。

Check Point研究人员Roman Zaikin、Dikla Barda和Oded Vanunuu在与《黑客新闻》分享的一份报告中表示：“通过诱使受害者点击恶意NFT，攻击者可以完全控制受害者的加密钱包来窃取资金”。

Rarible是一个NFT市场，允许用户创建、购买和销售数字NFT艺术，如照片、游戏和模因，拥有210多万活跃用户。

Check Point产品漏洞研究负责人瓦努努（Vanunu）在与《黑客新闻》（Hacker News）分享的一份声明中表示：“就安全性而言，Web2和Web3基础设施之间仍存在巨大差距”。

“任何一个小漏洞都可能让网络犯罪分子在幕后劫持加密钱包。从安全角度来看，我们仍然处于一个缺乏结合Web3协议的市场的状态。加密黑客的影响可能是极端的”。

攻击方式取决于恶意参与者向潜在受害者发送指向恶意NFT的链接（例如图像），当在新选项卡中打开该链接时，该链接会执行任意JavaScript代码，从而允许攻击者通过向钱包发送setApprovalForAll请求来完全控制其NFT。

setApprovalForAll API允许市场（在本例中为Rarible）根据已实现的智能合约将已售出的商品从卖方地址转移到买方地址。

研究人员指出：“这个功能在设计上是非常危险的，因为如果你上当签名，任何人都可以控制你的NFT”。

“用户并不总是清楚地知道他们通过签署交易授予了哪些权限。大多数情况下，受害者认为这些是常规交易，而事实上，他们是在控制自己的NFT”。

在批准请求的过程中，欺诈方案有效地允许对手从受害者的帐户转移所有NFT，然后攻击者可以在市场上以更高的价格出售这些NFT。

作为保障措施，建议用户在提供任何类型的授权之前仔细审查交易请求。通过访问Etherscan的token Approval Checker工具，可以查看和撤销之前的token Approval。

研究人员说：“NFT用户应该意识到，有各种各样的钱包请求，其中一些仅用于连接钱包，而另一些可能提供对其NFT和代币的完全访问”。