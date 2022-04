NFT : une faille de sécurité dans Rarible aurait permis le vol de portefeuilles de crypto-monnaies.

avril 2022 par Check Point Research (CPR)

Check Point Research (CPR) a identifié une faille de sécurité dans Rarible, la marketplace NFT de plus de deux millions d’utilisateurs actifs. Si elle avait été exploitée, cette vulnérabilité aurait permis à un acteur menaçant de voler les NFT et les jetons de crypto-monnaie des utilisateurs en une seule transaction. CPR a immédiatement révélé ses découvertes à Rarible, qui a reconnu la faille. C’est la deuxième fois que les chercheurs de CPR découvrent des failles de sécurité sur une place de marché NFT. En octobre 2021, CPR avait découvert des problèmes de sécurité dans OpenSea, la plus grande place de marché NFT du monde. C’est en assistant à une attaque similaire contre Jay Chou, un célèbre chanteur taïwanais, dont le NFT a été volé et vendu pour 500 000 dollars, que CPR a motivé ses recherches sur Rarible.

En 2021, Rarible a déclaré un volume de transactions de plus de 273 millions de dollars, ce qui en fait l’une des plus grandes places de marché NFT au monde.

CPR a décrit la méthode d’attaque, comme suit :

1. La victime reçoit un lien vers le NFT malveillant ou navigue sur la place de marché et clique dessus.

2. Le NFT malveillant exécute du code JavaScript et tente d’envoyer une requête setApprovalForAll à la victime.

3. La victime soumet la demande et autorise l’accès complet à ce NFT/jeton cryptographique à l’attaquant.

Le 1er avril, CPR a été témoin d’une attaque similaire sur Jay Chou, un célèbre chanteur taïwanais. Il a été piégé en effectuant une transaction qui lui a volé son BoardAppe NFT 3738 qui a ensuite été vendu pour 500 000 de dollars sur la place de marché. Cela a intrigué CPR, car la victime de cette méthode peut être n’importe quel détenteur de crypto/NFT. CPR a rapidement lancé une enquête approfondie sur Rarible. L’objectif de cette dernière recherche est de prévenir les risques de récupération de comptes et de vol de crypto-monnaies.

Les conclusions actuelles de CPR s’appuient sur des recherches précédentes effectuées en octobre 2021, au cours desquelles ils ont découvert des failles de sécurité critiques dans OpenSea, la plus grande place de marché NFT du monde. Si elles ne sont pas corrigées, les vulnérabilités découvertes sur la plateforme d’OpenSea pourraient permettre aux pirates de détourner des comptes d’utilisateurs et de voler des portefeuilles entiers de crypto-monnaies en créant des NFT malveillants.

CPR a communiqué ses conclusions à Rarible le mardi 5 avril 2022. Rarible a reconnu la faille de sécurité. CPR estime que Rarible aura déployé un correctif au moment de cette publication.

Oded Vanunu, chef de la recherche sur les vulnérabilités des produits chez Check Point Software explique : « CPR a consacré des ressources importantes pour examiner le lien entre la crypto et la sécurité. Nous continuons à observer d’importants efforts des cybercriminels qui cherchent à dérober de grands montants de crypto-monnaies, notamment sur les places de marché NFT. En octobre dernier, CPR avait découvert des problèmes de sécurité dans OpenSea, la plus grande place de marché NFT du monde. Or, nous avons identifié des vulnérabilités similaires dans Rarible. En termes de sécurité, il y a encore un énorme fossé entre l’infrastructure Web2 et Web3. Toute vulnérabilité, quelle que soit sa taille, ouvre une porte dérobée qui permettra aux cybercriminels de détourner les portefeuilles de crypto-monnaie en douce. Nous sommes encore au stade où les places de marché qui combinent les protocoles Web3 ne disposent pas d’une pratique de sécurité solide. Les répercussions à la suite d’un piratage de crypto-monnaie peuvent être extrêmement lourdes. Nous avons vu des millions de dollars détournés des utilisateurs de places de marché qui associent les technologies blockchain. Je m’attends à une progression continue des vols de crypto-monnaies. Les utilisateurs doivent se méfier. Ils doivent actuellement gérer deux types de portefeuilles : un pour la plupart de leurs crypto-monnaies et un autre uniquement pour des transactions. Si jamais le portefeuille de transactions est compromis, ils ne risquent pas de tout perdre. CPR continuera à étudier les implications de sécurité de cette nouvelle frontière de la technologie blockchain ».

CPR conseille d’être prudent et vigilant lors de la réception des demandes de signature, même sur la place de marché elle-même.

Avant d’approuver une demande, les utilisateurs doivent examiner attentivement ce qui est demandé, et déterminer si la requête leur semble anormale ou suspecte.

En cas de doute, il est conseillé aux utilisateurs de rejeter la demande et de l’examiner plus en détail avant de fournir toute sorte d’autorisation