Специалисты Check Point Research (CPR), обнаружили критическую уязвимость в NFT-маркетплейсе Rarible, которая могла позволить злоумышленникам похитить все невзаимозаменяемые токены (NFT) из кошельков пользователей.
По словам CPR, хакеры могли воспользоваться вредоносным NFT, при открытии которого через ссылку выполняется код JavaScript с запросом setApprovalForAll, после подтверждения злоумышленник получает полный доступ к кошельку жертвы. Стоит отметить, что подобный прецедент уже произошел 1 апреля, тогда неизвестный сумел похитить NFT Bored Ape #3738 у тайваньского певца Джея Чоу.
На данный момент команда Rarible устранили уязвимость, однако в CPR призвали пользователей быть внимательными при получении запросов даже на самой торговой площадке. В случае каких-либо сомнений они рекомендовали отклонять подобные предложения.
