OpenSea виправляє потенційно серйозну вразливість

Торговий майданчик NFT OpenSea нещодавно усунув уразливість у своєму коді, яку можна було використати для витоку даних користувачів. 

Imperva виявляє вразливість OpenSea

9 березня компанія з кібербезпеки Imperva вказала на вразливість у OpenSea платформа. Фірма опублікувала допис у блозі, де докладно описує свої висновки та стверджує, що вразливість створює серйозні загрози безпеці даних користувачів. Зловмисники можуть використати помилку, щоб розкрити особисту інформацію про користувачів, як-от номери телефонів та ідентифікатори електронної пошти. 

Команда написала у твіттері, 

«Команда Imperva Red виявила вразливість міжсайтового пошуку, що впливає на ринок NFT OpenSea».

Ця вразливість дозволяє деанонімізувати користувачів, потенційно розкриваючи особу користувача.

Згідно зі звітом, анонімні користувачі OpenSea можуть бути представлені шляхом маніпулювання цією помилкою та зв’язування IP-адреси, сеансу браузера чи навіть електронного листа з NFT. Як наслідок, анонімні покупці можуть ризикувати розкриттям своєї особи, якщо відповідну адресу криптогаманця буде виявлено у зв’язку з інформацією, зібраною з ідентифікаційної адреси. 

Основна причина – неправильна конфігурація бібліотеки

У звіті далі аналізується основна причина проблеми, визначено неправильну конфігурацію бібліотеки iFrame-resizer, яку використовує Платформа NFT, що спричинило вразливість міжсайтового пошуку. Це означає, що платформа неправильно налаштувала бібліотеку, яка змінює розмір елементів веб-сторінки, завантажуючи вміст HTML з іншого місця. 

Ця функція використовується для розміщення реклами, інтерактивного вмісту або вбудованих відео. Оскільки платформа OpenSea не обмежувала комунікації цієї бібліотеки, хакерам та іншим зловмисникам було б легко маніпулювати трансльованою інформацією та використовувати її як «оракул» для визначення цілей. 

Потім вони могли надіслати цілі посилання електронною поштою або SMS. Якщо ціль натисне посилання, буде розкрито його особисту інформацію, включаючи IP-адресу, агент користувача, деталі пристрою та версії програмного забезпечення. Адреса електронної пошти та номер телефону могли виступати в якості ідентифікаційних ринків, щоб дозволити зловмиснику отримати доступ до назв NFT, підключених до цілі, та відповідної адреси гаманця. 

Проблеми безпеки OpenSea

Як повідомляється, команда OpenSea вирішила проблему, швидко випустивши патч для усунення вразливості. Команда Imperva підтвердила, що цей патч обмежує зв’язок між вихідними кодами та запобігає подальшому використанню, таким чином успішно усуваючи загрозу. 

Однак це не перша загроза безпеці, з якою стикається OpenSea. У вересні 2021 року на платформі сталася помилка, яка призвела до видалення NFT вартістю 28.44 ETH або 100,000 2022 доларів США. Через рік, у лютому XNUMX року, OpenSea став мішенню хакера, який викрав кілька високоцінні NFT від користувачів платформи. 

Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.