Une faille de sécurité potentiellement majeure a été découverte sur Rarible, un marché populaire pour les jetons non fongibles (NFT), qui pourrait conduire les utilisateurs à perdre non seulement leurs NFT, mais également les crypto-monnaies directement depuis leur portefeuille.
Un rapport de Check Point Research (CPR) a identifié une vulnérabilité qui permettrait à un attaquant potentiel de voler les biens numériques de quelqu’un en une seule transaction. Le pire, c’est que tout se passerait sur le marché lui-même, un endroit où les gens se sentiraient généralement moins méfiants.
Selon le rapport du CPR, la méthodologie est simple et comprend la création d’un « NFT malveillant ». Si quelqu’un tombait dessus et cliquait dessus, le NFT malveillant exécuterait du code JavaScript pour tenter d’envoyer une requête setApprovalForAll à la victime.
NFT malveillants
Au cas où la victime soumettrait les demandes, elle accorderait au NFT malveillant un accès complet à son point de terminaison.
« En octobre de l’année dernière, nous avons découvert des failles de sécurité critiques dans OpenSea, le plus grand marché NFT au monde. Maintenant, nous avons identifié des vulnérabilités similaires dans Rarible », a commenté Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point Software.
« En termes de sécurité, il existe encore un énorme fossé entre les infrastructures Web2 et Web3. Toute petite vulnérabilité ouvre une porte dérobée aux cybercriminels pour détourner les portefeuilles cryptographiques dans les coulisses. Nous sommes toujours dans un état où les places de marché qui combinent les protocoles Web3 manquent d’une pratique de sécurité solide. Les implications suite à un piratage cryptographique peuvent être extrêmes. Nous avons vu des millions de dollars détournés d’utilisateurs de places de marché qui combinent des technologies de blockchain.
L’année dernière, Rarible a enregistré un volume de transactions de plus de 273 millions de dollars, ce qui en fait l’un des plus grands marchés NFT de la planète.
La société a informé le marché de sa découverte et a déclaré qu’elle « pense que Rarible aura déployé un correctif au moment de cette publication ». Nous avons contacté Rarible pour voir si c’est effectivement le cas, et nous mettrons à jour l’article en conséquence.
Cependant, étant donné que c’est le week-end de Pâques, il pourrait s’écouler quelques jours avant que nous n’entendions parler de Rarible.
« Les utilisateurs doivent actuellement gérer deux types de portefeuilles : un pour la plupart de leurs cryptos et un autre uniquement pour des transactions spécifiques », a poursuivi Vanunu.
« Si le portefeuille pour des transactions spécifiques est compromis, les utilisateurs peuvent toujours être dans une position où ils ne perdent pas tout. »