Trh s nezameniteľnými tokenmi (NFT) OpenSea údajne opravila zraniteľnosť, ktorá by v prípade zneužitia mohla odhaliť identifikačné informácie o jej anonymných používateľoch.
9. marca blog, kybernetická bezpečnostná firma Imperva podrobne opísala, ako na to objavil zraniteľnosť o ktorých tvrdil, že môžu deanonymizovať používateľov OpenSea „prepojením IP adresy, relácie prehliadača alebo e-mailu za určitých podmienok“ s NFT.
Keďže NFT zodpovedá adrese kryptomenovej peňaženky, skutočná identita používateľa by mohla byť odhalená zo zhromaždených informácií a prepojených s peňaženkou a jej aktivitou, vysvetlil Imperva.
Imperva Red Team objavil zraniteľnosť pri vyhľadávaní medzi stránkami, ktorá ovplyvňuje # NFT inzercia #OpenSea.
Táto zraniteľnosť umožňuje deanonymizáciu používateľov, čo môže potenciálne odhaliť identitu používateľa. https://t.co/nGQWceeGEc
— Imperva (@Imperva) March 9, 2023
Rozumie sa, že zneužitie využilo zraniteľnosť vyhľadávania medzi stránkami. Imperva tvrdil, že OpenSea nesprávne nakonfigurovala knižnicu, ktorá mení veľkosť prvkov webovej stránky, ktoré načítavajú obsah HTML odinakiaľ, ktorý sa zvyčajne používa na umiestňovanie reklám, interaktívneho obsahu alebo vložených videí.
Keďže OpenSea neobmedzovala komunikáciu tejto knižnice, vykorisťovatelia mohli použiť informácie, ktoré vysiela, ako „orákulum“ na zúženie, keď vyhľadávania nevracajú žiadne výsledky, pretože webová stránka by bola menšia.
Imperva podrobne uviedol, že útočník by to urobil poslať ich cieľu odkaz prostredníctvom e-mailu alebo SMS, ktoré po kliknutí „odhalia cenné informácie, ako je adresa IP cieľa, používateľský agent, podrobnosti o zariadení a verzie softvéru“.
Útočník by potom využil zraniteľnosť OpenSea na získanie mien NFT svojho cieľa a priradil zodpovedajúcu adresu peňaženky k identifikačným informáciám, ako je e-mail alebo telefónne číslo, na ktoré bol zaslaný pôvodný odkaz.
Imperva uviedol, že OpenSea „rýchlo vyriešila problém“ a riadne obmedzila komunikáciu knižnice a oznámila, že platforma „už nie je vystavená riziku takýchto útokov“.
Súvisiace: Bezpečnostný tím vytvára dashboard na detekciu potenciálnych hackov NFT v OpenSea
Používatelia platformy sa už dlho stávajú obeťami útokov, ktoré napodobňujú funkcie OpenSea na vykonávanie exploitov, ako sú phishingové webové stránky, ktoré sa podobajú na platformu alebo sa objavujú žiadosti o podpis pochádzať z OpenSea.
Samotné OpenSea čelil kritike pre bezpečnosť platformy vďaka a veľký phishingový útok vo februári 2022, čo viedlo k odcudzeniu NFT v hodnote viac ako 1.7 milióna dolárov používateľom.
Pokiaľ ide o nedávny patch, nie je známe, ako dlho existoval alebo či niektorí používatelia boli ovplyvnení exploitom.
OpenSea okamžite neodpovedala na žiadosť Cointelegraph o komentár.
Zdroj: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities