Patch-uri OpenSea Vulnerabilitate potențial gravă

Piața NFT OpenSea a abordat recent o vulnerabilitate din codul său care ar putea fi exploatată pentru a scurge datele utilizatorilor. 

Imperva detectează vulnerabilitatea OpenSea

Pe 9 martie, firma de securitate cibernetică Imperva a subliniat o vulnerabilitate în Opensea platformă. Firma a publicat o postare pe blog în care își detaliază constatările și a susținut că vulnerabilitatea reprezintă amenințări serioase de securitate la adresa datelor utilizatorilor. Actorii rău intenționați ar putea exploata eroarea pentru a descoperi informații personale despre utilizatori, cum ar fi numerele de telefon și ID-urile lor de e-mail. 

Echipa a postat pe Twitter, 

„Imperva Red Team a descoperit o vulnerabilitate de căutare pe mai multe site-uri care afectează piața NFT OpenSea.”

Această vulnerabilitate permite deanonimizarea utilizatorilor, potențial dezvăluind identitatea unui utilizator.

Potrivit raportului, utilizatorii anonimi OpenSea ar putea fi dezvăluiți prin manipularea acestui bug și conectarea unei adrese IP, a unei sesiuni de browser sau chiar a unui e-mail la un NFT. Drept urmare, cumpărătorii anonimi pot risca să-și dezvăluie identitatea dacă adresa corespunzătoare portofelului criptografic este dezvăluită în legătură cu informațiile culese de la adresa de identificare. 

Cauza principală – Configurare greșită a bibliotecii

Raportul analizează în continuare cauza principală a problemei, identificând configurația greșită a bibliotecii iFrame-resizer utilizată de Platforma NFT, care a cauzat vulnerabilitatea căutării pe mai multe site-uri. Aceasta înseamnă că platforma a configurat greșit o bibliotecă care redimensionează elementele paginii web care încarcă conținut HTML din altă parte. 

Această funcție este utilizată pentru a plasa anunțuri, conținut interactiv sau videoclipuri încorporate. Deoarece platforma OpenSea nu restricționase comunicațiile acestei biblioteci, ar fi ușor pentru hackeri și alți actori rău intenționați să manipuleze informațiile difuzate și să le folosească ca „oracol” pentru a identifica ținte. 

Apoi ar putea trimite țintei un link prin e-mail sau SMS. Dacă ținta face clic pe link, informațiile sale personale, inclusiv adresa IP, agentul de utilizator, detaliile dispozitivului și versiunile de software, vor fi dezvăluite. Adresa de e-mail și numărul de telefon ar fi putut acționa ca piețe de identificare pentru a permite atacatorului să acceseze numele NFT-urilor conectate la țintă și adresa portofelului corespunzătoare. 

Preocupările de securitate ale OpenSea

Se pare că echipa OpenSea a rezolvat problema lansând rapid un patch pentru a remedia vulnerabilitatea. Echipa Imperva a confirmat că acest patch restricționează comunicarea între origini și va preveni exploatarea viitoare, abordând astfel cu succes amenințarea. 

Cu toate acestea, aceasta nu este prima amenințare de securitate cu care se confruntă OpenSea. În septembrie 2021, platforma a experimentat o eroare care a dus la ștergerea NFT-urilor în valoare de 28.44 ETH sau 100,000 USD. Un an mai târziu, în februarie 2022, OpenSea a fost vizat de un hacker care furase mai multe NFT-uri de mare valoare de la utilizatorii platformei. 

Declinare de responsabilitate: Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie folosit ca sfaturi juridice, fiscale, de investiții, financiare sau de altă natură.