OpenSea корекции потенциално сериозна уязвимост

Пазарът на NFT OpenSea наскоро адресира уязвимост в техния код, която може да бъде използвана за изтичане на потребителски данни. 

Imperva открива уязвимост на OpenSea

На 9 март фирмата за киберсигурност Imperva посочи уязвимост в Отворено море платформа. Фирмата публикува публикация в блог, в която подробно описва откритията си и твърди, че уязвимостта представлява сериозни заплахи за сигурността на потребителските данни. Злонамерените участници биха могли да използват грешката, за да разкрият лична информация за потребителите, като техните телефонни номера и имейл идентификатори. 

Екипът написа в туитър, 

„Екипът на Imperva Red откри уязвимост при търсене в различни сайтове, засягаща NFT пазара OpenSea.“

Тази уязвимост позволява деанонимизиране на потребители, което потенциално разкрива самоличността на потребителя.

Според доклада, анонимни потребители на OpenSea могат да бъдат разкрити чрез манипулиране на тази грешка и свързване на IP адрес, сесия на браузър или дори имейл с NFT. В резултат на това анонимните купувачи могат да рискуват самоличността им да бъде разкрита, ако съответният адрес на крипто портфейла бъде разкрит във връзка с информацията, събрана от идентифициращия адрес. 

Основна причина – неправилна конфигурация на библиотеката

Докладът допълнително анализира основната причина за въпроса, идентифицирайки неправилната конфигурация на библиотеката iFrame-resizer, използвана от NFT платформа, което причини уязвимостта на търсенето между сайтове. Това означава, че платформата е конфигурирала неправилно библиотека, която преоразмерява елементи на уеб страница, зареждайки HTML съдържание от другаде. 

Тази функция се използва за поставяне на реклами, интерактивно съдържание или вградени видеоклипове. Тъй като платформата OpenSea не е ограничила комуникациите на тази библиотека, ще бъде лесно за хакери и други злонамерени участници да манипулират излъчената информация и да я използват като „оракул“ за определяне на цели. 

След това те могат да изпратят на целта връзка чрез имейл или SMS. Ако целта кликне върху връзката, тяхната лична информация, включително техния IP адрес, потребителски агент, подробности за устройството и версии на софтуера, ще бъде разкрита. Имейл адресът и телефонният номер биха могли да действат като идентифициращи пазари, за да позволят на нападателя да получи достъп до имената на NFT, свързани с целта, и съответния им адрес на портфейла. 

Притесненията за сигурността на OpenSea

Съобщава се, че екипът на OpenSea се е справил с проблема, като е пуснал бързо корекция за отстраняване на уязвимостта. Екипът на Imperva потвърди, че тази корекция ограничава комуникацията между различни източници и ще предотврати бъдеща експлоатация, като по този начин успешно адресира заплахата. 

Това обаче не е първата заплаха за сигурността, пред която е изправен OpenSea. През септември 2021 г. в платформата възникна грешка, която доведе до изтриване на NFT на стойност 28.44 ETH или $100,000 2022. Година по-късно, през февруари XNUMX г., OpenSea беше атакуван от хакер, който беше откраднал няколко NFT с висока стойност от потребителите на платформата. 

Отказ от отговорност: Тази статия е предоставена само с информационна цел. Той не се предлага или е предназначен да се използва като правен, данъчен, инвестиционен, финансов или друг съвет.