- Po úspešnom zneužití medzery na OpenSea mohla útočníkovi umožniť získať identitu používateľov.
- OpenSea problém rýchlo vyriešila, keď sa zraniteľnosť dostala do popredia.
Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Imperva zistila veľkú zraniteľnosť na populárnom trhu NFT OpenSea, ktorá by pri úspešnom zneužití mohla útočníkovi umožniť získať identity používateľov na platforme.
Podľa Imperva bola nesprávna konfigurácia knižnice iFrame-resizer, ktorú používa OpenSea, hlavným dôvodom zraniteľnosti.
Pri poskytnutí ďalších podrobností o mechanizme zneužitia problému Imperva uviedol, že útočník pošle odkaz prostredníctvom e-mailu alebo SMS.
Ak obeť klikne na odkaz, získajú sa dôležité informácie, ako je adresa IP cieľa, používateľský agent, podrobnosti o zariadení a verzie softvéru.
Zraniteľnosť vyhľadávania medzi stránkami by sa potom zneužila na získanie mien NFT cieľa a útočník by potom priradil uniknutú adresu NFT/verejnú peňaženku s e-mailom alebo telefónnym číslom, na ktoré bol odkaz pôvodne odoslaný.
V správe Impervy sa však uvádza, že spoločnosť OpenSea problém po nahlásení vyriešila a trh už nebol vystavený riziku takýchto útokov.
Poškvrnená minulosť
OpenSea v minulosti čelila vážnym obavám o bezpečnosť platformy. Vo februári 2022 bola v centre jedného z najväčších hackov v ekosystéme NFT.
Počas zneužitia boli z peňaženiek používateľov ukradnuté NFT v hodnote 1.7 milióna dolárov. Porušenie uznal generálny riaditeľ OpenSea Devin Finzer.
Ďalšia aktualizácia: za posledných pár hodín sme hovorili s desiatkami ľudí, tímov a projektov v priestore NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Februára 20, 2022
Za menej ako tri mesiace bol trh opäť zasiahnutý Discord kanál bol ohrozený. Hackeri zverejnili falošné správy o spolupráci na YouTube, ktoré obsahovali odkaz na phishingovú stránku.
Vplyv hackov prinútil OpenSea podniknúť konkrétne kroky na ochranu svojich používateľov. Minulý mesiac predstavila a doba odkladu tri hodiny, počas ktorých predajcovia nebudú môcť prijímať ponuky po údajnom predaji.
Obchodná aktivita klesá
Medzitým OpenSea zaznamenala výrazný pokles obchodnej aktivity na platforme od polovice februára. Týždenné obchodovanie NFT kleslo o 40 % až do času tlače, podľa údajov z Token Terminálu.
V dôsledku toho klesli aj autorské honoráre vyplácané tvorcom. Týždenné poplatky na strane ponuky klesli v čase písania článku o 40 %, čo by mohlo odradiť autorov, ktorí prejavia záujem, od uvedenia svojej práce na trh.
Zdroj: Token Terminal
OpenSea bola tvrdo zasiahnutá Rozmazať [BLUR] búrka, ktorá sa prehnala ekosystémom trhu NFT. Podľa údajov z Dune Analytics sa podiel OpenSea na celkovom objeme obchodov na všetkých trhoch znížil na 26 %.
Stále si však dokázalo udržať značný kus používateľskej základne a celkového počtu predajov s dominanciou 62.8 %, respektíve 51 %.
Zdroj: Duna Analytics
Zdroj: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/