Sayfer Identifies Security Vulnerability Affecting 10% of All NFT Projects
The BadReveal vulnerability allows hackers to seize the greatest and most valuable NFTs at launch before reselling them for a huge profit on the secondary market.
Cybersecurity firm Sayfer has identified a new vulnerability that could affect 10% of all NFT projects.
Dubbed BadReveal, the vulnerability could allow hackers to hack into the minting of non-fungible tokens or NFTs. By exploiting the BadReveal bug, an attacker could steal the best and most valuable NFTs before they even launch, then resell them on the secondary market and reap huge profits.
Worryingly, Sayfer has discovered BadReveal vulnerabilities in dozens of different projects. The company also believes that this vulnerability may have appeared in thousands of other projects previously.
NFTs at Risk of Being Stolen Before Revealed
Most NFT projects are randomly generated. This ensures that the NFT will be distributed fairly, as well as possess various rare traits.
NFTs are then revealed within a few days of their mint being completed. The metadata is revealed and the buyer can reliably identify the characteristics of the NFT they have created.
While analyzing the code of top NFT projects, Sayfer researchers discovered that many project owners require two different transactions during the reveal process.
The project owner first sets the unique metadata to the reveal and then discloses this data to the public. The time interval between these two transactions usually ranges from a few hours to a few days.
During this time period, if an attacker somehow gains access to the metadata, they will scan all the NFT metadata in the project and pinpoint the rarest tokens, then use this information to acquire valuable NFTs that have not yet been revealed.
Sayfer said that since there is currently no way to automatically check for the presence of BadReveal, NFT projects should perform security checks before launch. This will give the community confidence in the integrity of the minting process, as well as ensure a fair distribution of the NFTs to the holders.
Sayfer is an Israel-based cybersecurity consulting firm. Through reverse engineering and vulnerability research, the firm looks for new security threats in customers’ products, as well as provides special solutions to overcome them, and prevent hackers from threatening customers.
Source: Crypto Potato. All Rights Reserved.
Lỗ hổng bảo mật mới làm tăng khả năng NFT quý hiếm bị đánh cắp
Lỗ hổng BadReveal sẽ cho phép tin tắc tấn công quá trình đúc tiền của các mã thông báo không thể thay thế- NFT.
Công ty an ninh mạng Sayfer đã xác định được một lỗ hổng mới, có thể ảnh hưởng đến 10% tổng số dự án NFT hiện nay.
Được gọi với cái tên là BadReveal, lỗ hổng này sẽ cho phép tin tặc tấn công vào quá trình đúc của các mã thông báo không thể thay thế, hay NFT. Thông qua việc khai thác lỗi BadReveal, kẻ tấn công có thể cướp các NFT tốt nhất và có giá trị nhất trước khi chúng được ra mắt, sau đó bán lại chúng trên thị trường thứ cấp và thu về lợi nhuận khủng.
Đáng lo ngại là Sayfer đã tìm thấy lỗ hổng BadReveal trong hàng chục dự án khác nhau. Công ty cũng tin rằng lỗ hổng này có thể đã xuất hiện trong hàng nghìn dự án khác.
Các NFT có nguy cơ bị đánh cắp trước khi ra mắt
Hầu hết các dự án NFT đều sẽ tạo token một cách ngẫu nhiên. Điều này đảm bảo rằng NFT sẽ được phân phối công bằng, cũng như sở hữu các đặc điểm quý hiếm khác nhau.
Các NFT sẽ được công khai trong vòng vài ngày kể từ khi quá trình đúc hoàn thành. Khi đó, siêu dữ liệu sẽ được tiết lộ và người mua có thể xác định chắc chắn các đặc điểm của NFT mà họ đã tạo ra.
Trong khi phân tích mã cho các dự án NFT hàng đầu, các nhà nghiên cứu của Sayfer phát hiện ra rằng nhiều chủ dự án sẽ đòi hỏi 2 giao dịch khác nhau trong quá trình công khai.
Đầu tiên, chủ dự án đặt siêu dữ liệu duy nhất cho phần công khai, sau đó sẽ tiết lộ dữ liệu này cho công chúng. Khoảng thời gian giữa hai giao dịch trên thường diễn ra từ vài giờ đến vài ngày.
Trong khoảng thời gian này, nếu kẻ tấn công bằng cách nào đó kiểm soát được quyền truy cập vào siêu dữ liệu, chúng sẽ quét tất cả siêu dữ liệu NFT trong dự án và xác định chính xác các token hiếm nhất, sau đó sử dụng thông tin này để lấy đi các NFT có giá trị chưa được công bố.
Sayfer cho biết, vì hiện không có cách nào để tự động kiểm tra sự hiện diện của lỗ hổng BadReveal, các dự án NFT nên thực hiện kiểm tra bảo mật trước khi khởi chạy. Điều này sẽ mang lại cho cộng đồng niềm tin vào tính toàn vẹn của quá trình đúc, cũng như đảm bảo sự phân phối công bằng của NFT cho các chủ sở hữu.
Sayfer là một công ty tư vấn về an ninh mạng có trụ sở tại Israel. Thông qua nghiên cứu kỹ thuật đảo ngược và lỗ hổng bảo mật, công ty tìm kiếm các nguy cơ về bảo mật mới trong các sản phẩm của khách hàng, cũng như cung cấp các giải pháp đặc biệt nhằm khắc phục chúng, ngăn chặn kẻ gian đe dọa khách hàng.
