दुर्लभ एनएफटी मार्केटप्लेस दोष हैकर्स को क्रिप्टो वॉलेट चोरी करने दे सकता है: चेक प्वाइंट रिसर्च

टोकन और अपूरणीय टोकन (एनएफटी) चोरी करने के प्रयास में हैकर्स अपने उपयोगकर्ताओं के क्रिप्टो वॉलेट तक पहुंच प्राप्त करने के लिए क्रिप्टो कंपनियों को तेजी से लक्षित कर रहे हैं। अब, चेक प्वाइंट रिसर्च के सुरक्षा शोधकर्ताओं ने रारिबल एनएफटी मार्केटप्लेस के भीतर एक डिज़ाइन दोष पाया है जो संभावित रूप से हैकर्स को दुर्भावनापूर्ण एनएफटी पर क्लिक करने के लिए उपयोगकर्ता के क्रिप्टोकुरेंसी वॉलेट पर कब्जा करने की अनुमति दे सकता है, और फिर उनके खाते पर पूर्ण नियंत्रण ले सकता है।

शोधकर्ताओं ने इस संभावित जोखिम के बारे में तुरंत रेरिबल को सतर्क कर दिया, और एनएफटी कंपनी ने दोष को स्वीकार किया और एक फिक्स स्थापित किया।

Rarible एक NFT बाज़ार है जो उपयोगकर्ताओं को फ़ोटो, गेम और मीम्स जैसी डिजिटल NFT कला बनाने, खरीदने और बेचने में सक्षम बनाता है। चेक प्वाइंट रिसर्च (CPR) के अनुसार, Rarible ने 2021 में $273 मिलियन से अधिक ट्रेडिंग वॉल्यूम और 2.1 मिलियन से अधिक उपयोगकर्ताओं की सूचना दी, जिससे यह दुनिया के सबसे बड़े NFT मार्केटप्लेस में से एक बन गया। एनएफटी बाजार 400,000 से अधिक एनएफटी के साथ तीन ब्लॉकचेन का भी समर्थन करता है।

दोष ढूँढना

एनएफटी को स्थानांतरित या ट्रैक करने के लिए, ब्लॉकचैन पारिस्थितिकी तंत्र में स्वामित्व का प्रतिनिधित्व करने के लिए एक मानक है- ईआईपी 721 या ईआरसी 721, (टिप्पणियों के लिए एथेरियम अनुरोध)। इस मानक में ‘setApprovalForAll’ नामक एक फ़ंक्शन है जो अनिवार्य रूप से निर्दिष्ट करता है कि आपके सभी टोकन और एनएफटी को नियंत्रित करने के लिए कौन अधिकृत है।

इस फ़ंक्शन का उपयोग बाज़ार के मालिकों जैसे Rarible, OpenSea, आदि द्वारा उपयोगकर्ताओं की ओर से NFT को नियंत्रित करने के लिए किया जाता है। इस फ़ंक्शन को डिज़ाइन करना काफी खतरनाक है क्योंकि यह किसी को भी आपके NFT को नियंत्रित करने की अनुमति दे सकता है यदि आप इस पर हस्ताक्षर करने के लिए छल करते हैं। “हमलावर इस तरह के लेनदेन का उपयोग आमतौर पर फ़िशिंग हमलों में करते हैं, लेकिन जब यह एनएफटी बाज़ार से आता है, तो यह बहुत अधिक खतरनाक होता है,” शोधकर्ताओं ने एक ब्लॉग पोस्ट में उल्लेख किया।

जांच के उद्देश्य से, सीपीआर ने एक दुर्भावनापूर्ण कला फ़ाइल बनाई और इसे एनएफटी बाज़ार पर अपलोड किया। जैसे ही पीड़ित द्वारा कला पर क्लिक किया गया, दुर्भावनापूर्ण कोड निष्पादित किया गया, जिसने उपयोगकर्ता के स्वामित्व वाले सभी एनएफटी को setApprovalForAll फ़ंक्शन के माध्यम से लूप किया। शोधकर्ता अब पीड़ित के क्रिप्टो वॉलेट तक पूरी पहुंच प्राप्त कर सकते हैं क्योंकि पीड़ित ने उसे ऐसा करने की अनुमति दी है।

सुरक्षित कैसे रहें?

“एनएफटी उपयोगकर्ताओं को पता होना चाहिए कि विभिन्न वॉलेट अनुरोध हैं – उनमें से कुछ का उपयोग केवल वॉलेट को जोड़ने के लिए किया जाता है, लेकिन अन्य अपने एनएफटी और टोकन तक पूर्ण पहुंच प्रदान कर सकते हैं,” सीपीआर ने कहा।

सीपीआर अनुशंसा करता है कि जब भी रेरिबल मार्केटप्लेस, या किसी अन्य मार्केटप्लेस के भीतर किसी लिंक पर हस्ताक्षर करने का अनुरोध प्राप्त हो, तो सावधान और जागरूक रहें। किसी अनुरोध को स्वीकृत करने से पहले, उपयोगकर्ताओं को सावधानीपूर्वक समीक्षा करनी चाहिए कि क्या अनुरोध किया जा रहा है, और विचार करें कि क्या अनुरोध असामान्य या संदिग्ध लगता है।

यदि कोई संदेह है, तो उपयोगकर्ताओं को अनुरोध को अस्वीकार कर देना चाहिए और किसी भी प्रकार का प्राधिकरण प्रदान करने से पहले इसकी और जांच करनी चाहिए।