Съобщава се, че пазарът на незаменими токени (NFT) OpenSea е коригирал уязвимост, която, ако бъде експлоатирана, може да разкрие идентифицираща информация за неговите анонимни потребители.
През 9 март блог, фирмата за киберсигурност Imperva подробно описа как откри уязвимостта за който се твърди, че може да деанонимизира потребителите на OpenSea „чрез свързване на IP адрес, сесия на браузър или имейл при определени условия“ с NFT.
Тъй като NFT съответства на адрес на портфейл за криптовалута, истинската самоличност на потребителя може да бъде разкрита от събраната информация и свързана с портфейла и неговата дейност, обясни Imperva.
Екипът на Imperva Red откри уязвимост при търсене в различни сайтове, засягаща #NFT пазар #OpenSea.
Тази уязвимост позволява деанонимизиране на потребители, което потенциално разкрива самоличността на потребителя. https://t.co/nGQWceeGEc
— Имперва (@Imperva) Март 9, 2023
Предполага се, че експлойтът се е възползвал от уязвимост при търсене в различни сайтове. Imperva твърди, че OpenSea е конфигурирала неправилно библиотека, която преоразмерява елементи на уеб страница, които зареждат HTML съдържание от другаде, което обикновено се използва за поставяне на реклами, интерактивно съдържание или вградени видеоклипове.
Тъй като OpenSea не ограничава комуникациите на тази библиотека, експлоататорите могат да използват информацията, която излъчва като „оракул“, за да стеснят обхвата, когато търсенията не върнат резултати, тъй като уеб страницата ще бъде по-малка.
Imperva уточни, че нападателят би изпратете на целта си връзка чрез имейл или SMS, който, ако се щракне, „разкрива ценна информация, като IP адрес на целта, потребителски агент, подробности за устройството и версии на софтуера“.
След това нападателят би използвал уязвимостта на OpenSea, за да извлече NFT имената на своята цел и да свърже съответния адрес на портфейла с идентифицираща информация като имейл или телефонен номер, на който е изпратена оригиналната връзка.
Imperva каза, че OpenSea „бързо се е справила с проблема“ и правилно е ограничила комуникациите на библиотеката и съобщи, че платформата „вече не е изложена на риск от подобни атаки“.
Свързани: Екипът по сигурността създава табло за управление за откриване на потенциални NFT хакове в OpenSea
Потребителите на платформата отдавна са били жертви на атаки, които имитират функциите на OpenSea за предприемане на експлойти, като фишинг уебсайтове, които приличат на платформата или появяват се заявки за подпис да произхождат от OpenSea.
Самият OpenSea е изправен пред критика за сигурността на своята платформа поради a голяма фишинг атака през февруари 2022 г., което доведе до кражба на NFT от потребители на стойност над $1.7 милиона.
Що се отнася до скорошната корекция, не е известно колко време е съществувала или дали някой потребител е бил засегнат от експлойта.
OpenSea не отговори веднага на искането на Cointelegraph за коментар.
Източник: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities