OpenSea opravuje potenciálne závažnú zraniteľnosť

Trh NFT OpenSea nedávno riešil zraniteľnosť vo svojom kóde, ktorá by mohla byť zneužitá na únik používateľských údajov. 

Imperva zisťuje zraniteľnosť OpenSea

9. marca kybernetická bezpečnostná firma Imperva upozornila na zraniteľnosť v OpenSea plošina. Firma zverejnila blogový príspevok s podrobnosťami o svojich zisteniach a tvrdila, že táto zraniteľnosť predstavuje vážne bezpečnostné hrozby pre používateľské údaje. Škodliví herci by mohli túto chybu zneužiť na odhalenie osobných informácií o používateľoch, ako sú ich telefónne čísla a e-mailové ID. 

Tím tweetoval, 

„Imperva Red Team objavil zraniteľnosť pri vyhľadávaní medzi stránkami, ktorá ovplyvňuje trh NFT OpenSea.“

Táto zraniteľnosť umožňuje deanonymizáciu používateľov, čo môže potenciálne odhaliť identitu používateľa.

Podľa správy by mohli byť anonymní používatelia OpenSea odhalení manipuláciou s touto chybou a prepojením IP adresy, relácie prehliadača alebo dokonca e-mailu s NFT. V dôsledku toho môžu anonymní kupujúci riskovať odhalenie svojej identity, ak sa v súvislosti s informáciami získanými z identifikačnej adresy odhalí zodpovedajúca adresa kryptopeňaženky. 

Hlavná príčina – Nesprávna konfigurácia knižnice

Správa ďalej analyzuje hlavnú príčinu problému a identifikuje nesprávnu konfiguráciu knižnice iFrame-resizer používanej Platforma NFT, čo spôsobilo zraniteľnosť vyhľadávania medzi stránkami. To znamená, že platforma nesprávne nakonfigurovala knižnicu, ktorá mení veľkosť prvkov webovej stránky načítavajúcich obsah HTML odinakiaľ. 

Táto funkcia sa používa na umiestňovanie reklám, interaktívneho obsahu alebo vložených videí. Keďže platforma OpenSea neobmedzovala komunikáciu tejto knižnice, pre hackerov a iných zlomyseľných aktérov by bolo ľahké manipulovať s vysielanými informáciami a použiť ich ako „orákulum“ na určenie cieľov. 

Potom mohli poslať cieľu odkaz prostredníctvom e-mailu alebo SMS. Ak cieľová skupina klikne na odkaz, odhalia sa jej osobné informácie vrátane adresy IP, používateľského agenta, podrobností o zariadení a verzií softvéru. E-mailová adresa a telefónne číslo mohli slúžiť ako identifikačné trhy, aby útočníkovi umožnili prístup k menám NFT pripojených k cieľu a ich zodpovedajúcej adrese peňaženky. 

Bezpečnostné obavy OpenSea

Tím OpenSea údajne vyriešil problém rýchlym vydaním opravy na opravu zraniteľnosti. Tím Imperva potvrdil, že táto oprava obmedzuje komunikáciu medzi zdrojmi a zabráni budúcemu zneužitiu, čím úspešne rieši hrozbu. 

Toto však nie je prvá bezpečnostná hrozba, ktorej OpenSea čelí. V septembri 2021 sa na platforme vyskytla chyba, ktorá mala za následok vymazanie NFT v hodnote 28.44 ETH alebo 100,000 2022 dolárov. O rok neskôr, vo februári XNUMX, sa OpenSea stal terčom hackera, ktorý ukradol niekoľko vysokohodnotné NFT od používateľov platformy. 

Zrieknutie sa zodpovednosti: Tento článok je poskytovaný iba na informačné účely. Nie je ponúkané ani určené na použitie ako právne, daňové, investičné, finančné alebo iné poradenstvo.