- Пропускът в OpenSea, когато се използва успешно, може да позволи на атакуващия да получи самоличността на потребителите.
- OpenSea бързо коригира проблема, след като уязвимостта излезе на преден план.
Фирма за киберсигурност Imperva откри голяма уязвимост на популярния NFT пазар Отворено море, което при успешна експлоатация може да позволи на атакуващия да получи самоличността на потребителите на платформата.
Според Imperva неправилната конфигурация на библиотеката iFrame-resizer, използвана от OpenSea, е основната причина за уязвимостта.
Предоставяйки повече подробности за механизма за експлоатация на проблема, Imperva заяви, че нападателят ще изпрати връзка чрез имейл или SMS.
Ако жертвата щракне върху връзката, жизненоважна информация като IP адрес на целта, потребителски агент, подробности за устройството и версии на софтуера ще бъдат извлечени.
След това уязвимостта при търсене в различни сайтове ще бъде използвана, за да се получат NFT имената на целта и след това нападателят ще свърже изтеклия адрес на NFT/обществен портфейл с имейла или телефонния номер, до който първоначално е изпратена връзката.
В доклада на Imperva обаче се споменава, че OpenSea е отстранил проблема, след като беше докладван и пазарът вече не е изложен на риск от подобни атаки
Опетнено минало
В миналото OpenSea се сблъска със сериозни опасения относно сигурността на платформата. През февруари 2022 г. той беше в центъра на един от най-големите хакове в екосистемата на NFT.
По време на експлойта NFT на стойност 1.7 милиона долара бяха откраднати от портфейлите на потребителите. Пробивът беше признат от изпълнителния директор на OpenSea Девин Финзър.
Друга актуализация: през последните няколко часа разговаряхме с десетки хора, екипи и проекти в пространството на NFT. https://t.co/fB5r3cMA1r
- Девин Финцер (dfinzer.eth) (@dfinzer) Февруари 20, 2022
След по-малко от три месеца пазарът беше ударен отново, когато му Discord каналът беше компрометиран. Хакерите публикуваха фалшива новина за сътрудничество в YouTube, която включваше връзка към сайт за фишинг.
Въздействието на хаковете накара OpenSea да предприеме някои конкретни стъпки, за да защити своите потребители. Миналия месец той въведе a гратисен период от три часа, през които продавачите ще бъдат възпрепятствани да приемат оферти след предполагаема продажба.
Търговската активност намалява
Междувременно OpenSea отбеляза значителен спад в търговската активност на платформата от средата на февруари. Седмичната търговия с NFT се срина с 40% до момента на публикуване, според данни от Token Terminal.
Вследствие на това възнагражденията, плащани на творците, също намаляха. Седмичните такси от страната на предлагането паднаха с 40% към момента на писане, което може да разубеди заинтересованите творци да изброят работата си на пазара.
Източник: Token Terminal
OpenSea беше силно засегнат поради Размазване [BLUR] буря, която помете екосистемата на NFT пазара. Според данни от Dune Analytics, делът на OpenSea в общия обем на търговия на всички пазари е намален до 26%.
Въпреки това, той все още успява да задържи значителна част от потребителската база и общия брой продажби, с доминиране съответно от 62.8% и 51%.
Източник: Dune Analytics
Източник: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/