На NFT-платформе Rarible обнаружили занятную уязвимость. Эксплойт функции setApprovalForAll в NFT-стандарте EIP-721 позволял злоумышленникам получить доступ к кошелькам жертв.
Суть в том, что Rarible позволял загружать файлы до 100 Мб без их проверки. Так что SVG-изображение с нагрузкой в виде джава-малвари, впаренное жертве, давало доступ к чужому кошельку и всем ценным картинкам. Одного тайваньского бедолагу так лишили картинки со смешной обезьянкой за 500 тысяч долларов, например.
Спецы из Check Point, правящие уязвимость, отмечают, что это проблема не платформы, а самого NFT-стандарта. Так что всем нео-коллекционерам рекомендуют проверить одобренные подтверждения и отозвать подозрительные
