Повідомляється, що торгова площадка Nonfungible token (NFT) OpenSea виправила вразливість, яка в разі використання може розкрити ідентифікаційну інформацію про анонімних користувачів.
9 березня блозі, компанія з кібербезпеки Imperva детально розповіла, як це відбувається виявив вразливість який, як стверджувалося, може деанонімізувати користувачів OpenSea, «пов’язуючи IP-адресу, сеанс браузера або електронну пошту за певних умов» із NFT.
Оскільки NFT відповідає адресі гаманця криптовалюти, справжню особу користувача можна виявити за допомогою зібраної інформації та пов’язати з гаманцем і його діяльністю, пояснив Imperva.
Команда Imperva Red виявила вразливість міжсайтового пошуку, що впливає на #NFT ринку #Відкрите море.
Ця вразливість дозволяє деанонімізувати користувачів, потенційно розкриваючи особу користувача. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Березня 9, 2023
Вважається, що експлойт скористався вразливістю міжсайтового пошуку. Imperva стверджувала, що OpenSea неправильно налаштувала бібліотеку, яка змінює розміри елементів веб-сторінки, які завантажують вміст HTML з іншого місця, який зазвичай використовується для розміщення реклами, інтерактивного вмісту чи вбудованого відео.
Оскільки OpenSea не обмежував комунікації цієї бібліотеки, експлуататори могли використовувати інформацію, яку вона транслює, як «оракул», щоб звузити коло, коли пошук не дає результатів, оскільки веб-сторінка була б меншою.
Imperva розповіла, що нападник буде надіслати їх цільовим посиланням через електронну пошту або SMS, які, якщо натиснути, «розкривають цінну інформацію, таку як IP-адреса цільового користувача, агент користувача, деталі пристрою та версії програмного забезпечення».
Потім зловмисник використовував би вразливість OpenSea, щоб отримати імена NFT своєї цілі та пов’язати відповідну адресу гаманця з ідентифікаційною інформацією, такою як електронна адреса або номер телефону, на який було надіслано вихідне посилання.
Imperva заявила, що OpenSea «швидко вирішила проблему» і належним чином обмежила зв’язок бібліотеки, а також повідомила, що платформа «більше не піддається ризику таких атак».
За темою: Команда безпеки створює інформаційну панель для виявлення потенційних зломів NFT в OpenSea
Користувачі платформи вже давно є жертвами атак, які імітують функції OpenSea для здійснення експлойтів, наприклад, фішингові веб-сайти, які нагадують платформу або з'являються запити на підпис походити з OpenSea.
Сам OpenSea зіткнувся з критикою для безпеки платформи завдяки a серйозна фішингова атака у лютому 2022 року, що призвело до викрадення у користувачів NFT на суму понад 1.7 мільйона доларів.
Що стосується останнього патча, то невідомо, як довго він існував і чи постраждав від експлойту хтось із користувачів.
OpenSea не одразу відповіла на запит Cointelegraph про коментар.
Джерело: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities