Nonfungible token (NFT) turg OpenSea on väidetavalt parandanud haavatavuse, mille ärakasutamine võib paljastada selle anonüümsete kasutajate identifitseerivat teavet.
9. märtsil blogi, küberturbefirma Imperva kirjeldas üksikasjalikult, kuidas see avastas haavatavuse mis väidetavalt võib muuta OpenSea kasutajad deanonüümseks, "linkides IP-aadressi, brauseri seansi või teatud tingimustel e-kirja" NFT-ga.
Kuna NFT vastab krüptoraha rahakoti aadressile, siis kogutud ja rahakoti ning selle tegevusega seotud info põhjal võiks selguda kasutaja tegelik identiteet, selgitas Imperva.
Imperva Red Team avastas saidiülese otsingu haavatavuse, mis mõjutab #NFT turul #Avameri.
See haavatavus võimaldab kasutajaid deanonüümseks muuta, mis võib potentsiaalselt paljastada kasutaja identiteedi. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Märtsil 9, 2023
Eeldatakse, et ärakasutamine kasutas ära saidiülese otsingu haavatavuse. Imperva väitis, et OpenSea oli valesti konfigureerinud teegi, mis muudab veebilehe elementide suurust, mis laadivad mujalt HTML-sisu, mida tavaliselt kasutatakse reklaamide, interaktiivse sisu või manustatud videote paigutamiseks.
Kuna OpenSea ei piiranud selle teegi suhtlust, said ärakasutajad kasutada selle edastatavat teavet "oraaklina", et piirata, kui otsingud ei anna tulemusi, kuna veebileht oleks väiksem.
Imperva täpsustas, et ründaja seda teeks saatke oma sihtmärgile link e-posti või SMS-i kaudu, millel klõpsamine „avaldab väärtuslikku teavet, nagu sihtmärgi IP-aadress, kasutajaagent, seadme üksikasjad ja tarkvaraversioonid”.
Ründaja kasutaks seejärel OpenSea haavatavust, et eraldada oma sihtmärgi NFT-nimed ja seostada vastava rahakoti aadress identifitseerivate andmetega, nagu e-posti aadress või telefoninumber, millele algne link saadeti.
Imperva ütles, et OpenSea "tegeles probleemiga kiiresti" ja piiras korralikult raamatukogu suhtlust ning teatas, et platvormil "ei olnud enam selliste rünnakute oht".
Seotud: Turvameeskond loob armatuurlaua, et tuvastada OpenSeas võimalikud NFT-häkkimised
Platvormi kasutajad on pikka aega langenud rünnakute ohvriks, mis jäljendavad OpenSea funktsioone, et sooritada ärakasutusi, näiteks andmepüügiveebisaidid, mis meenutavad platvormi või ilmuvad allkirjataotlused pärinema OpenSeast.
OpenSea ise on silmitsi kriitikaga oma platvormi turvalisuse tõttu a suur andmepüügirünnak 2022. aasta veebruaris, mille tulemusel varastati kasutajatelt üle 1.7 miljoni dollari väärtuses NFT-sid.
Mis puudutab hiljutist plaastrit, siis pole teada, kui kaua see eksisteeris või kas ärakasutamine oli kasutajaid mõjutanud.
OpenSea ei vastanud kohe Cointelegraphi kommentaaritaotlusele.
Allikas: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities