又一家NFT平台曝出重大漏洞，Web 3.0安全隐患凸显

以色列网络安全厂商Check Point发布报告称，全球最大的不可替代代币（NFT）市场之一Rarible曝出安全漏洞，可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币。

研究人员表示，网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接，攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金。

Rarible平台未回复置评请求。据Check Point透露，该平台已经在4月5日的披露说明中承认存在此问题，“相信Rarible将在接下来的版本中部署修复程序。”

Web 3.0基础设施安全薄弱

Check Point产品漏洞研究负责人Oded Vanunu表示，他们已经看到不少网络犯罪分子正在盗窃加密货币以获取利润，这类行为在NFT市场上尤为常见。

Vanunu称，去年10月，另一家国际主要NFT市场OpenSea曾曝出安全漏洞，他们正是受此启发开始对Rarible进行调查。在中国台湾的超级巨星周杰伦抱怨自己的一个NFT被盗，卖出50万美元高价后，他们受到鞭策愈加积极调查。

“在安全性方面，Web 2.0与Web 3.0基础设施之间仍然存在巨大差距。”Vanunu表示。

“任何一个小漏洞都可能被网络犯罪分子利用，从而悄悄劫持用户的加密钱包。从安全角度来看，我们仍处在一个缺乏统一Web 3.0协议市场的状态。”

加密货币盗窃攻击过程还原

典型的Rarible漏洞利用流程如下：

首先，黑客会向受害者发送一条恶意NFT链接；

之后，该恶意NFT会“执行JavaScript代码，并尝试向受害者发送setApprovalForAll请求”。

如此一来，受害者将在无意间回复请求，泄露自己NFT或加密货币的完全访问权限。

周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT，无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。

Check Point解释称，“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后，对方立即将NFT转移到了自己的钱包中，随后在市场上以50万美元价格卖出。”

“NFT用户应该对各类钱包的请求保持警惕，其中大部分仅指向钱包地址，但也有一些可能涉及对用户NFT及加密货币的完全访问权限。”

加密货币盗窃猖獗，用户需保持警惕

Rarible平台的月活跃用户超过200万。2021年，该平台报告的交易总量突破2亿美元。

Vanunu指出，这类加密货币/NFT黑攻击很可能引发极端影响。

“在基于区块链技术的交易市场上，我们已经观察到价值数百万美元的资产惨遭盗窃。在未来一段时期内，这类加密货币盗窃事件很可能还将持续增加。”

“结合当下现实，用户应当需要使用两个钱包：一个用于存储大部分加密货币，另一个仅用于操作单笔特定交易。这样即使涉及特定交易的钱包被盗，用户的主体资产不会受到致命影响。”