NFT

Une faille de sécurité dans la plate-forme Rarible NFT a permis aux attaquants de voler des actifs cryptographiques

NFT concept

Les jetons NFT et crypto ont été volés aux clients de Rarible avant que le problème ne soit résolu. En savoir plus à ce sujet et comment prévenir ce type de menace.

Image : elenabs/Getty Images

Un nouveau rapport de Check Point Research expose une faille de sécurité dans le Rarible NFT (tokens non fongibles). La faille de sécurité a été immédiatement signalée à Rarible, qui a reconnu et installé un correctif pour le problème.

Rarible est une plateforme en ligne où les utilisateurs peuvent créer, acheter ou vendre des NFT. Il compte plus de 2 millions d’utilisateurs enregistrés et la société a enregistré un volume de transactions de plus de 273 millions de dollars en 2021, ce qui en fait l’un des plus grands marchés NFT sur le Web.

La faille de sécurité dans Rarible

La norme de jeton non fongible, EIP-721, permet la mise en œuvre d’une API standard pour les NFT dans le cadre de contrats intelligents. La norme fournit des fonctionnalités de base pour suivre et transférer les NFT.

L’une des fonctions répertoriées dans la norme s’appelle setApprovalForAll (Figure A).

Figure A

Image : Ethereum.org.  Fonction setApprovalForAll de la norme EIP-721.
Image : Ethereum.org. Fonction setApprovalForAll de la norme EIP-721.

Les chercheurs de CheckPoint ont expliqué que « cette fonction désigne essentiellement qui est autorisé à contrôler tous vos tokens/NFT, qui est principalement créé pour des tiers comme Rarible/OpenSea, etc., pour contrôler les NFT/tokens au nom des utilisateurs ».

Cette fonction permet à quiconque de contrôler les NFT d’un utilisateur si cet utilisateur est amené à le signer. Étant donné que de nombreux utilisateurs ne comprennent pas vraiment tous les aspects techniques des NFT, ils peuvent parfois donner le contrôle de leurs NFT alors qu’ils pensaient qu’ils ne faisaient que traiter une transaction régulière. Les attaques de phishing utilisent parfois cette astuce pour inciter les victimes à effectuer ce qui leur semble être des transactions régulières alors qu’en fait elles donnent leurs NFT à un attaquant. Pourtant, la situation s’aggrave lorsqu’elle provient du marché NFT lui-même.

La preuve de concept de cette attaque NFT

Les chercheurs de CheckPoint ont décidé de créer un fichier SVG contenant une charge utile qui exécuterait du code Javascript.

Cette charge utile vérifie les NFT de l’utilisateur, à l’aide de la fonction tokennfttx de l’API Ethereum. La charge utile bouclerait alors sur tous les NFT, en envoyant une transaction setApprovalForAll au portefeuille (Figure B).

Figure B

Image : Point de contrôle.  Utilisation de l'API pour envoyer des requêtes setApprovalForAll pour chaque NFT appartenant à la victime.
Image : Point de contrôle. Utilisation de l’API pour envoyer des requêtes setApprovalForAll pour chaque NFT appartenant à la victime.

Si l’utilisateur cliquait sur le bouton de confirmation, il fournirait un accès complet à tous ses NFT à l’attaquant (Figure C).

Figure C

Image : Point de contrôle.  L'art malveillant à gauche et la demande frauduleuse à droite.
Image : Point de contrôle. L’art malveillant à gauche et la demande frauduleuse à droite.

L’attaquant pourrait alors transférer tous les NFT sur son propre compte.

Jay Chou s’est fait voler un NFT par cette attaque

La même attaque ciblée avec succès Jay Chou, célèbre chanteur taïwanais, qui est tombé dans le piège du phishing et a accordé un accès complet à son NFT à l’attaquant. Une fois l’accès fourni, l’attaquant a transféré un NFT vers un autre portefeuille et l’a ensuite vendu sur le marché pour environ 500 000 $.

L’impact commercial de cette attaque de vol de NFT

Les utilisations des NFT sont multiples au sein des entreprises, et certaines d’entre elles se sont immédiatement ruées sur le phénomène NFT. L’utilisation principale des NFT pour les entreprises est de promouvoir les marques en vendant des articles exclusifs aux clients ou aux fans. Certaines entreprises offrent également des NFT à leurs clients en cadeau. Une autre utilisation intéressante de la stratégie de marque consiste à utiliser les NFT pour aider à créer de nouvelles communautés, dans lesquelles les utilisateurs obtiennent une valeur sociale en fonction du nombre de NFT qu’ils possèdent.

Les NFT peuvent également être utilisés comme preuve de participation à des événements ou à des formations/certifications. Les personnes participant à l’événement recevraient un jeton unique comme preuve qu’elles ont effectivement participé.

Ces entreprises utilisent généralement des places de marché NFT populaires pour vendre ou gérer leurs articles (Figure D), ce qui les rend vulnérables à l’attaque exposée dans cet article. Le compte de la société pourrait être ciblé par des cybercriminels dans le but de faire en sorte que le compte accorde un accès complet à tous ses NFT à l’aide de la méthode setApprovalForAll exposée par CheckPoint, et que les jetons soient transférés vers d’autres portefeuilles avant d’être vendus.

Figure D

Image : Twitter.  La société Coca-Cola utilise la plate-forme OpenSea pour gérer NFT.
Image : Twitter. La société Coca-Cola utilise la plate-forme OpenSea pour gérer les NFT.

Comment protéger vos NFT de cette menace

  • Le NFT et les blockchains sont complexes pour la plupart des utilisateurs, et cette complexité est principalement due au fait que les utilisateurs ne se soucient pas vraiment de la façon dont cela fonctionne réellement. Cela facilite les attaques et aide les cybercriminels à voler des NFT avec quelques ingénieries sociales. Les utilisateurs doivent prendre le temps de lire et de mieux comprendre les blockchains et les NFT, afin d’avoir suffisamment de connaissances pour distinguer une arnaque d’une demande légitime.
  • Les utilisateurs doivent toujours examiner attentivement toute demande qu’ils reçoivent et déterminer si elle semble suspecte ou non.
  • En cas de doute, les utilisateurs doivent rejeter la demande ou s’adresser à leur service de cybersécurité.
  • Enfin, les utilisateurs peuvent et doivent la revue et révoquer les approbations de jetons si nécessaire.

Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.