- Lacuna de pe OpenSea, atunci când a fost exploatată cu succes, ar fi putut permite atacatorului să obțină identitățile utilizatorilor.
- OpenSea a remediat rapid problema după ce vulnerabilitatea a ieșit în prim-plan.
Companie de securitate cibernetică Imperva a detectat o vulnerabilitate majoră pe piața populară NFT Opensea, care atunci când este exploatat cu succes, ar putea permite atacatorului să obțină identitățile utilizatorilor de pe platformă.
Potrivit Imperva, configurarea greșită a bibliotecii iFrame-resizer utilizată de OpenSea a fost principalul motiv din spatele vulnerabilității.
Oferind mai multe detalii despre mecanismul de exploatare al problemei, Imperva a declarat că atacatorul va trimite un link prin e-mail sau SMS.
Dacă victima face clic pe link, vor fi preluate informații vitale, cum ar fi adresa IP a țintei, agentul utilizator, detaliile dispozitivului și versiunile de software.
Vulnerabilitatea de căutare între site-uri ar fi apoi exploatată pentru a obține numele NFT ale țintei, iar atacatorul ar asocia apoi adresa NFT/portofel publică scursă cu e-mailul sau numărul de telefon la care a fost trimis inițial legătura.
Cu toate acestea, raportul Imperva a menționat că OpenSea a remediat problema după ce a fost raportată și piața nu mai era expusă riscului de astfel de atacuri.
Tainted Trecut
OpenSea s-a confruntat cu îngrijorări serioase cu privire la securitatea platformei în trecut. În februarie 2022, a fost în centrul unuia dintre cele mai mari hack-uri din ecosistemul NFT.
În timpul exploatării, NFT-uri în valoare de 1.7 milioane de dolari au fost furate din portofelele utilizatorilor. Încălcarea a fost recunoscută de CEO-ul OpenSea, Devin Finzer.
O altă actualizare: în ultimele ore am discutat cu zeci de oameni, echipe și proiecte din spațiul NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) 20 Februarie 2022
În mai puțin de trei luni, piața a fost lovită din nou când a fost canalul discord a fost compromis. Hackerii au postat o știre falsă de colaborare pe YouTube, care includea un link către un site de phishing.
Impactul hackurilor a făcut ca OpenSea să ia niște pași concreți pentru a-și proteja utilizatorii. Luna trecută, a introdus un Perioadă de grație de trei ore în care vânzătorii vor fi împiedicați să accepte oferte după o presupusă vânzare.
Activitatea de tranzacționare scade
Între timp, OpenSea a înregistrat o scădere semnificativă a activității de tranzacționare pe platformă de la jumătatea lunii februarie. Tranzacționarea săptămânală NFT a scăzut cu 40% până la momentul scrierii, conform datelor de la Token Terminal.
Ca o consecință a acestui fapt, redevențele plătite creatorilor au scăzut și ele. Taxele săptămânale din partea ofertei au scăzut cu 40% la momentul redactării acestui articol, ceea ce i-ar putea descuraja pe creatorii interesați să-și listeze lucrările pe piață.
OpenSea a fost lovit puternic din cauza Estompare [BLUR] furtuna care a măturat ecosistemul pieței NFT. Conform datelor de la Dune Analytics, cota OpenSea în volumul total de tranzacționare pe toate piețele a fost redusă la 26%.
Cu toate acestea, a reușit în continuare să păstreze o parte semnificativă a bazei de utilizatori și a numărului total de vânzări, cu o dominație de 62.8% și, respectiv, 51%.
Sursa: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/