- Kui OpenSea lünk seda edukalt ära kasutati, võis ründaja saada kasutajate identiteedid.
- OpenSea parandas probleemi kiiresti pärast haavatavuse esilekerkimist.
Küberturvalisuse ettevõte imperva avastas populaarsel NFT-turul suure haavatavuse OpenSea, mille eduka ärakasutamise korral võib ründaja saada platvormil olevate kasutajate identiteedid.
Imperva sõnul oli haavatavuse peamine põhjus OpenSea kasutatava iFrame-resizer teegi vale konfiguratsioon.
Esitades probleemi ekspluateerimismehhanismi kohta rohkem üksikasju, teatas Imperva, et ründaja saadab lingi meili või SMS-i teel.
Kui ohver klõpsab lingil, hangitakse kätte oluline teave, nagu sihtmärgi IP-aadress, kasutajaagent, seadme üksikasjad ja tarkvaraversioonid.
Seejärel kasutataks saidiülese otsingu haavatavust sihtmärgi NFT-nimede hankimiseks ja ründaja seostaks seejärel lekkinud NFT/avaliku rahakoti aadressi e-posti või telefoninumbriga, kuhu link algselt saadeti.
Imperva raportis mainiti aga, et OpenSea lahendas probleemi pärast sellest teatamist ja turg ei olnud enam selliste rünnakute ohus.
Rikutud minevik
OpenSea on varem silmitsi tõsiste muredega platvormi turvalisuse pärast. 2022. aasta veebruaris oli see NFT ökosüsteemi ühe suurima häkkimise keskmes.
Ärakasutamise käigus varastati kasutajate rahakotist 1.7 miljoni dollari väärtuses NFT-sid. OpenSea tegevjuht Devin Finzer tunnistas rikkumist.
Veel üks värskendus: viimaste tundide jooksul oleme rääkinud kümnete inimeste, meeskondade ja projektidega NFT-ruumis. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Veebruar 20, 2022
Vähem kui kolme kuu pärast tabas turg uuesti, kui tema ebakõla kanal oli ohus. Häkkerid postitasid võltsitud YouTube'i koostööuudise, mis sisaldas linki andmepüügisaidile.
Häkkimiste mõju sundis OpenSea kasutajate kaitsmiseks konkreetseid samme astuma. Eelmisel kuul tutvustas see a armuaeg kolm tundi, mille jooksul müüjad ei saa pärast eeldatavat müüki pakkumisi vastu võtta.
Kauplemisaktiivsus langeb
Vahepeal nägi OpenSea platvormi kauplemisaktiivsust alates veebruari keskpaigast märkimisväärselt. Token Terminali andmete kohaselt langes iganädalane NFT-kauplemine pressimiseni 40%.
Selle tulemusena vähenesid ka loojatele makstavad autoritasud. Iganädalased pakkumisepoolsed tasud langesid artikli kirjutamise ajal 40%, mis võib sundida huvitatud loojaid oma töid turule panemast.
Allikas: Token Terminal
OpenSea sai selle tõttu kõva löögi Hägustamine [BLUR] torm, mis pühkis NFT turu ökosüsteemi. Dune Analyticsi andmetel vähenes OpenSea osa kõigi turgude kauplemismahust 26%-ni.
Siiski suutis see siiski säilitada märkimisväärse osa kasutajabaasist ja müükide koguarvust, domineerides vastavalt 62.8% ja 51%.
Allikas: Dune Analytics
Allikas: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/