Piața de token nonfungible (NFT) OpenSea a corectat o vulnerabilitate care, dacă este exploatată, ar putea expune informații de identificare despre utilizatorii săi anonimi.
Într-un 9 martie blogul, firma de securitate cibernetică Imperva a detaliat cum a descoperit vulnerabilitatea despre care susținea că ar putea dezanoniza utilizatorii OpenSea „prin conectarea unei adrese IP, a unei sesiuni de browser sau a unui e-mail în anumite condiții” la un NFT.
Întrucât NFT corespunde unei adrese de portofel criptomonede, identitatea reală a unui utilizator ar putea fi dezvăluită din informațiile adunate și legate de portofel și de activitatea acestuia, a explicat Imperva.
Imperva Red Team a descoperit o vulnerabilitate de căutare pe mai multe site-uri care afectează #NFT piaţă #OpenSea.
Această vulnerabilitate permite deanonimizarea utilizatorilor, potențial dezvăluind identitatea unui utilizator. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Martie 9, 2023
Exploatarea se înțelege că a profitat de o vulnerabilitate de căutare între site-uri. Imperva a susținut că OpenSea a configurat greșit o bibliotecă care redimensionează elementele paginii web care încarcă conținut HTML din altă parte, care sunt de obicei folosite pentru a plasa reclame, conținut interactiv sau videoclipuri încorporate.
Deoarece OpenSea nu a restricționat comunicațiile acestei biblioteci, exploatatorii ar putea folosi informațiile pe care le difuzează ca un „oracol” pentru a restrânge atunci când căutările nu aduc rezultate, deoarece pagina web ar fi mai mică.
Imperva a detaliat că un atacator ar face asta trimiteți țintei lor un link prin e-mail sau SMS, care, dacă se face clic, „dezvăluie informații valoroase, cum ar fi adresa IP a țintei, agentul de utilizator, detaliile dispozitivului și versiunile de software”.
Atacatorul ar folosi apoi vulnerabilitatea OpenSea pentru a extrage numele NFT ale țintei lor și pentru a asocia adresa portofelului corespunzătoare cu informații de identificare, cum ar fi un e-mail sau un număr de telefon căruia i-a fost trimis linkul inițial.
Imperva a spus că OpenSea „a abordat rapid problema” și a restricționat în mod corespunzător comunicațiile bibliotecii și a raportat că platforma „nu mai riscă astfel de atacuri”.
Related: Echipa de securitate creează un tablou de bord pentru a detecta potențialele hack-uri NFT în OpenSea
Utilizatorii platformei au fost de multă vreme victimele atacurilor care imită funcțiile OpenSea pentru a întreprinde exploatații, cum ar fi site-uri web de phishing care seamănă cu platforma sau apar cereri de semnătură să provină din OpenSea.
OpenSea în sine s-a confruntat cu critici pentru securitatea platformei sale datorită a atac major de phishing în februarie 2022, ceea ce a dus la furtul utilizatorilor de NFT în valoare de peste 1.7 milioane USD.
În ceea ce privește patch-ul recent, nu se știe de cât timp a existat sau dacă vreun utilizator a fost afectat de exploit.
OpenSea nu a răspuns imediat cererii de comentarii a Cointelegraph.
Sursa: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities