Rarible NFT（不可替代令牌）市场中的一个安全漏洞允许攻击者使用相对简单的技巧来窃取数字资产并将其直接转移到他们的钱包中。

Rarible 是一个以社区为中心的 NFT 市场，提供高达 50% 的版税，拥有 210 万注册用户，年交易量数亿美元，并支持三个区块链。

Check Point的分析师发现了市场中的危险缺陷，他们与 Rarible 合作实施了修复

但是，已经成为受害者的用户需要检查并撤销他们通过过去的欺诈性交易请求授予的令牌批准。

在 NFT 中隐藏代码
问题源于作为 NFT EIP-721 标准一部分的“setApprovalForAll”函数的内在风险，该标准将 NFT 资产的完全控制权交给了其他人。

欺诈请求示例
（检查点）
通过伪造看似无害的交易请求并要求资产持有者对其进行签名，网络钓鱼攻击者会抢夺目标的 NFT，甚至在没有对受害者发出任何警报的情况下取得钱包控制权。

Rarible 的安全漏洞是该平台允许用户上传最大 100MB 的媒体文件，而无需审查它们是否存在潜在的恶意内容。

基于此，Check Point 的研究人员认为他们可以创建一个隐藏恶意 JavaScript 有效负载的 SVG 图像，并将其作为 NFT 上传到 Rarible 进行销售。

恶意 NFT 上传到 Rarible (Check Point)
单击 NFT 图像或 IPFS 链接将触发代码执行，导致目标在其浏览器上接收“setApprovalForAll”事务请求。

假设受害者粗心或不太了解交易的内容，他们可能会批准该请求，从而使攻击者可以访问他们的整个集合。

从那里，黑客可以使用“transferFrom”操作并简单地窃取 NFT，将它们转移到他们拥有的钱包中。与所有区块链交易一样，此操作是不可逆的。

Check Point 的报告提到了一个针对台湾名人周杰伦的真实滥用案件，他最近将价值 50 万美元的“无聊猿”NFT 输给了交易签名诈骗者。

如何保护您的资产
需要强调的是，Rarible 并不是唯一存在此特定缺陷的市场，因为 Check Point去年在 OpenSea 上发现了一个非常相似的问题。

本质上，问题在于 NFT 交易标准和签名请求的模糊性，这使得资产持有者难以评估其真实性和实际范围。

出于这个原因，每当您收到签署任何内容的请求时，请彻底检查以确定所涉及的内容。如果您有疑问，请不要授权交易。

建议用户使用此令牌批准检查器来查看他们之前的批准并撤销那些看似欺诈的批准。

由于这些攻击的工作方式，访问批准和资产转移之间通常存在延迟，因此某些受害者可能仍有时间。

尽管区块链技术可能具有开创性，但保护用户资产方面仍然落后，因此投资者需要格外谨慎。