⭕️ از دست رفتن تمام دارایی، تنها با کلیک بر یک NFT مخرب
@matitanium
💰پلتفرم Rarible با بیش از ۲.۱ میلیون کاربر و حجم معاملات بیش از ۲۷۳ میلیون دلار در سال، یکی از بزرگترین بازارهای NFT جهان بهشمار میرود.
💸 بهتازگی یک نقص امنیتی در این پلفترم شناسایی شده، که بواسطهی آن تمام دارایی کاربر تنها با کلیک کردن بر یک NFT مخرب، سرقت خواهد شد.
👾 روش هک
۱. هکر ابتدا یک NFT مانند عکس یا گیف طراحی میکند، و کد مخربی را در آن قرار میدهد.
۲. در صورت کلیک کاربر بر آن، کد جاوااسکریپت مخرب اجرا، NFTهای کاربر با استفاده از API اتریوم بررسی، و درخواست تراکنش setApprovalForAll به والت کاربر ارسال میشود.
🔗 تابع setApprovalForAll و حساسیت آن
۳. حال در صورت موافقت کاربر و تایید تراکنش، مهاجم به NFTهای قربانی دسترسی کامل پیدا کرده و میتواند آنها را به حساب خود منتقل کند.
🌐 یک نمونه NFT مخرب و مراحل هک توسط آن + توصیههای امنیتی
@matitanium
@matitanium
💰پلتفرم Rarible با بیش از ۲.۱ میلیون کاربر و حجم معاملات بیش از ۲۷۳ میلیون دلار در سال، یکی از بزرگترین بازارهای NFT جهان بهشمار میرود.
💸 بهتازگی یک نقص امنیتی در این پلفترم شناسایی شده، که بواسطهی آن تمام دارایی کاربر تنها با کلیک کردن بر یک NFT مخرب، سرقت خواهد شد.
👾 روش هک
۱. هکر ابتدا یک NFT مانند عکس یا گیف طراحی میکند، و کد مخربی را در آن قرار میدهد.
۲. در صورت کلیک کاربر بر آن، کد جاوااسکریپت مخرب اجرا، NFTهای کاربر با استفاده از API اتریوم بررسی، و درخواست تراکنش setApprovalForAll به والت کاربر ارسال میشود.
🔗 تابع setApprovalForAll و حساسیت آن
۳. حال در صورت موافقت کاربر و تایید تراکنش، مهاجم به NFTهای قربانی دسترسی کامل پیدا کرده و میتواند آنها را به حساب خود منتقل کند.
🌐 یک نمونه NFT مخرب و مراحل هک توسط آن + توصیههای امنیتی
@matitanium
یه پارامتر تمپرینگ (تغیر قیمت محصولات و خرید) هم هستش بعدا رایتاپش میکنم فعلا نمیتونم پابلیکش کنم
Media is too big
VIEW IN TELEGRAM
Bug Bounty ssrf
🔖FREE LABS TO TEST YOUR PENTEST/CTF SKILLS [آزمایشگاه های رایگان برای آزمایش مهارت های PENTEST/CTF شما]
SANS Challenger - https://lnkd.in/e5TAMawK
SmashTheStack - https://lnkd.in/eVn9rP9p
The Cryptopals Crypto Challenges - https://cryptopals.com
Try Hack Me - https://tryhackme.com
Vulnhub - https://vulnhub.com
W3Challs - https://w3challs.com
Academy Hackaflag BR - https://hackaflag.com.br
Attack-Defense - https://attackdefense.com
Alert to win - https://alf.nu/alert1
CTF Komodo Security - https://ctf.komodosec.com
CMD Challenge - https://cmdchallenge.com
Explotation Education - https://exploit.education
Google CTF - https://lnkd.in/e46drbz8
HackTheBox - https://hackthebox.com
Hackthis - https://hackthis.co.uk
Hacksplaining - https://lnkd.in/eAB5CSTA
Hacker101 - https://ctf.hacker101.com
Hacker Security - https://lnkd.in/ex7R-C-e
Hacking-Lab - https://hacking-lab.com
HSTRIKE - https://hstrike.com
ImmersiveLabs - https://immersivelabs.com
NewbieContest - https://lnkd.in/ewBk6fU5
OverTheWire - http://overthewire.org
Practical Pentest Labs - https://lnkd.in/esq9Yuv5
Pentestlab - https://pentesterlab.com
Penetration Testing Practice Labs - https://lnkd.in/e6wVANYd
PentestIT LAB - https://lab.pentestit.ru
PicoCTF - https://picoctf.com
PWNABLE - https://lnkd.in/eMEwBJzn
Root-Me - https://root-me.org
Root in Jail - http://rootinjail.com
WeChall - http://wechall.net
Zenk-Security - https://lnkd.in/ewJ5rNx2
SANS Challenger - https://lnkd.in/e5TAMawK
SmashTheStack - https://lnkd.in/eVn9rP9p
The Cryptopals Crypto Challenges - https://cryptopals.com
Try Hack Me - https://tryhackme.com
Vulnhub - https://vulnhub.com
W3Challs - https://w3challs.com
Academy Hackaflag BR - https://hackaflag.com.br
Attack-Defense - https://attackdefense.com
Alert to win - https://alf.nu/alert1
CTF Komodo Security - https://ctf.komodosec.com
CMD Challenge - https://cmdchallenge.com
Explotation Education - https://exploit.education
Google CTF - https://lnkd.in/e46drbz8
HackTheBox - https://hackthebox.com
Hackthis - https://hackthis.co.uk
Hacksplaining - https://lnkd.in/eAB5CSTA
Hacker101 - https://ctf.hacker101.com
Hacker Security - https://lnkd.in/ex7R-C-e
Hacking-Lab - https://hacking-lab.com
HSTRIKE - https://hstrike.com
ImmersiveLabs - https://immersivelabs.com
NewbieContest - https://lnkd.in/ewBk6fU5
OverTheWire - http://overthewire.org
Practical Pentest Labs - https://lnkd.in/esq9Yuv5
Pentestlab - https://pentesterlab.com
Penetration Testing Practice Labs - https://lnkd.in/e6wVANYd
PentestIT LAB - https://lab.pentestit.ru
PicoCTF - https://picoctf.com
PWNABLE - https://lnkd.in/eMEwBJzn
Root-Me - https://root-me.org
Root in Jail - http://rootinjail.com
WeChall - http://wechall.net
Zenk-Security - https://lnkd.in/ewJ5rNx2
Cryptopals
The Cryptopals Crypto Challenges