OpenSea parandab potentsiaalselt tõsist haavatavust

NFT turg OpenSea tegeles hiljuti oma koodi haavatavusega, mida saab ära kasutada kasutajaandmete lekitamiseks. 

Imperva tuvastab OpenSea haavatavuse

9. märtsil juhtis küberjulgeolekufirma Imperva tähelepanu haavatavusele süsteemis OpenSea platvorm. Ettevõte avaldas ajaveebi postituse, milles kirjeldati üksikasjalikult oma järeldusi ja väitis, et haavatavus kujutas endast tõsist ohtu kasutajaandmetele. Pahatahtlikud osalejad võivad seda viga ära kasutada, et avastada kasutajate kohta isiklikku teavet, nagu nende telefoninumbrid ja e-posti ID-d. 

Meeskond säutsus, 

"Imperva Red Team avastas saidiülese otsingu haavatavuse, mis mõjutab NFT turgu OpenSea."

See haavatavus võimaldab kasutajaid deanonüümseks muuta, mis võib potentsiaalselt paljastada kasutaja identiteedi.

Aruande kohaselt võidakse anonüümsed OpenSea kasutajad avalikustada, kui seda viga manipuleerida ja IP-aadressi, brauseri seansi või isegi e-kirja linkida NFT-ga. Selle tulemusena võivad anonüümsed ostjad riskida oma identiteedi paljastamisega, kui vastav krüptorahakoti aadress avastatakse seoses tuvastavalt aadressilt kogutud teabega. 

Algpõhjus – raamatukogu vale konfiguratsioon

Aruandes analüüsitakse täiendavalt probleemi algpõhjust, tuvastades iFrame-resizeri teegi vale konfiguratsiooni, mida kasutab NFT platvorm, mis põhjustas saidiülese otsingu haavatavuse. See tähendab, et platvorm oli valesti konfigureerinud teegi, mis muudab mujalt HTML-i sisu laadivate veebilehe elementide suurust. 

Seda funktsiooni kasutatakse reklaamide, interaktiivse sisu või manustatud videote paigutamiseks. Kuna OpenSea platvorm ei olnud selle teegi suhtlust piiranud, oleks häkkeritel ja teistel pahatahtlikel osalejatel lihtne levitatava teabega manipuleerida ja kasutada seda sihtmärkide kindlakstegemiseks oraaklina. 

Seejärel võivad nad saata sihtrühmale lingi e-posti või SMS-i teel. Kui sihtmärk klõpsab lingil, avalikustatakse tema isikuandmed, sealhulgas IP-aadress, kasutajaagent, seadme üksikasjad ja tarkvaraversioonid. Meiliaadress ja telefoninumber oleksid võinud toimida tuvastavate turgudena, võimaldades ründajal pääseda juurde sihtmärgiga ühendatud NFT-de nimedele ja neile vastavale rahakotiaadressile. 

OpenSea turvaprobleemid

Väidetavalt on OpenSea meeskond probleemi lahendanud, vabastades haavatavuse parandamiseks kiiresti plaastri. Imperva meeskond kinnitas, et see plaaster piirab päritoluvahelist suhtlust ja hoiab ära edaspidise ärakasutamise, aidates seega ohuga edukalt toime. 

See pole aga esimene turvaoht, millega OpenSea silmitsi seisab. 2021. aasta septembris ilmnes platvormil viga, mille tulemusel NFT-de kustutamine väärtusega 28.44 ETH ehk 100,000 2022 dollarit. Aasta hiljem, XNUMX. aasta veebruaris, võttis OpenSea sihikule häkker, kes oli varastanud mitu kõrge väärtusega NFT-d platvormi kasutajatelt. 

Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.