cryptobriefing.com
25 de julio de 2022 17:40 UTC
Tiempo de lectura: ~2 m
La firma de ciberseguridad Sayfer ha identificado una nueva vulnerabilidad que afecta al 10% de todos los proyectos de NFT. La llamada vulnerabilidad BadReveal ataca el proceso de acuñación de tokens no fungibles, que están destinados a generarse aleatoriamente. Al explotar el error BadReveal, un atacante podría reclamar los mejores y más valiosos NFT en el lanzamiento antes de revenderlos para obtener grandes ganancias en el mercado secundario.
Sayfer tiene como objetivo prevenir fallas en los contratos inteligentes
Con la mayoría de los proyectos de NFT, los tokens se acuñan a ciegas para garantizar una distribución justa de los NFT, cuyas características de rareza pueden diferir mucho. A los pocos días de que se complete la acuñación, se produce la “revelación” en la que los metadatos se hacen públicos y los compradores pueden determinar las características de su NFT. Si un atacante de alguna manera logra acceder a los metadatos antes de que se revelen, podría usar esta información para obtener valiosos NFT no revelados.
Al analizar el código de los principales proyectos de NFT, los investigadores de Sayfer descubrieron que muchos de ellos implican dos transacciones diferentes en el proceso de revelación. El propietario del proyecto primero establece los metadatos únicos para la revelación y luego revela los datos al público. En el tiempo entre estas dos transacciones, que suele ser de horas o incluso días, un atacante habilidoso puede escanear todos los metadatos de NFT en el proyecto e identificar los tokens más raros.
Sayfer encontró la vulnerabilidad en docenas de proyectos cuyo código base evaluó y cree que es replicable en miles más. Su equipo ha declarado que, dado que no hay forma de probar automáticamente la presencia de la vulnerabilidad BadReveal, los proyectos NFT deben encargar una auditoría de seguridad antes del lanzamiento. Esto le dará a la comunidad fe en la integridad del proceso de acuñación y garantizará una distribución justa de NFT a los propietarios que se involucrarán apasionadamente con el proyecto.
Sayfer es una empresa líder en consultoría de ciberseguridad. Hacemos que las organizaciones sean más seguras con soluciones ad-hoc que cierran las brechas que los productos de seguridad comunes no logran alcanzar. Nuestros clientes disfrutan de soluciones rápidas y personalizadas que evitan grandes brechas de seguridad. Sayfer se especializa en defensa ofensiva aprovechando enfoques que imitan el comportamiento del atacante. A través de la ingeniería inversa y la investigación de vulnerabilidades, podemos encontrar brechas de seguridad novedosas en los productos de nuestros clientes y evitar que los malos reales amenace a nuestros clientes.