[COMUNICATO STAMPA – Tel Adashim, Israele, 25 luglio 2022]
La società di sicurezza informatica Sayfer ha identificato una nuova vulnerabilità che colpisce il 10% di tutti i progetti NFT. La cosiddetta vulnerabilità BadReveal attacca il processo di conio di token non fungibili, che devono essere generati casualmente. Sfruttando il bug BadReveal, un utente malintenzionato potrebbe rivendicare gli NFT migliori e più preziosi al momento del lancio prima di rivenderli con grande profitto sul mercato secondario.
Con la maggior parte dei progetti NFT, i token vengono coniati alla cieca per garantire un'equa distribuzione degli NFT, i cui tratti di rarità possono differire notevolmente. Entro giorni dal completamento della zecca, avviene la "rivelazione" dopodiché i metadati vengono resi pubblici e gli acquirenti possono accertare le caratteristiche della loro NFT. Se un utente malintenzionato riesce in qualche modo ad accedere ai metadati prima che vengano rivelati, potrebbe utilizzare queste informazioni per accaparrarsi preziose NFT non rivelate.
Durante l'analisi del codice per i principali progetti NFT, i ricercatori di Sayfer hanno scoperto che molti di essi comportano due diverse transazioni nel processo di rivelazione. Il proprietario del progetto imposta prima i metadati univoci per la rivelazione e poi rivela i dati al pubblico. Nel tempo che intercorre tra queste due transazioni, che in genere è di ore o addirittura giorni, un aggressore esperto può scansionare tutti i metadati NFT nel progetto e individuare i token più rari.
Sayfer ha rilevato la vulnerabilità in dozzine di progetti di cui ha valutato la base di codice e ritiene che sia replicabile in altri migliaia. Il suo team ha affermato che poiché non c'è modo di testare automaticamente la presenza della vulnerabilità di BadReveal, i progetti NFT dovrebbero commissionare un audit di sicurezza prima del lancio. Ciò darà fiducia alla comunità nell'integrità del processo di conio e assicurerà un'equa distribuzione di NFT ai proprietari che saranno coinvolti con passione nel progetto.
A proposito di Sayfer
Sayfer è una delle principali società di consulenza per la sicurezza informatica. Rendiamo le organizzazioni più sicure con soluzioni ad hoc che colmano le lacune che i comuni prodotti di sicurezza non riescono a raggiungere. I nostri clienti godono di soluzioni rapide e personalizzate che prevengono gravi violazioni della sicurezza. Sayfer è specializzato nella difesa offensiva sfruttando approcci che imitano il comportamento dell'attaccante. Attraverso il reverse engineering e la ricerca sulla vulnerabilità, siamo in grado di individuare nuove violazioni della sicurezza nei prodotti dei nostri clienti e impedire ai veri cattivi di minacciare i nostri clienti.
Ulteriori informazioni: https://sayfer.io/