Tržište nezamjenjivih tokena (NFT) OpenSea navodno je zakrpalo ranjivost koja bi, ako se iskoristi, mogla razotkriti identifikacijske informacije o svojim anonimnim korisnicima.
U 9. ožujka blog, tvrtka za kibernetičku sigurnost Imperva detaljno je opisala kako to otkrio ranjivost za koje se tvrdilo da mogu deanonimizirati korisnike OpenSea "povezivanjem IP adrese, sesije preglednika ili e-pošte u određenim uvjetima" s NFT-om.
Budući da NFT odgovara adresi novčanika kriptovalute, stvarni identitet korisnika mogao bi se otkriti iz prikupljenih informacija i povezati s novčanikom i njegovom aktivnošću, objasnio je Imperva.
Imperva Red Team otkrio je ranjivost pretraživanja između web-mjesta koja utječe na #NFT tržište #Otvoreno more.
Ova ranjivost omogućuje deanonimizaciju korisnika, potencijalno otkrivajući identitet korisnika. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Ožujak 9, 2023
Pretpostavlja se da je iskorištavanje iskoristilo ranjivost pretraživanja između web-lokacija. Imperva je tvrdila da je OpenSea pogrešno konfigurirao biblioteku koja mijenja veličinu elemenata web stranice koji učitavaju HTML sadržaj s drugog mjesta koji se obično koristi za postavljanje oglasa, interaktivnog sadržaja ili ugrađenih videa.
Kako OpenSea nije ograničio komunikaciju ove knjižnice, eksploatatori bi mogli koristiti informacije koje emitira kao "proročanstvo" za sužavanje kada pretraživanja ne daju rezultate jer bi web stranica bila manja.
Imperva je opisala da bi napadač poslati poveznicu svojoj meti putem e-pošte ili SMS-a koji ako se klikne "otkriva vrijedne informacije, kao što su ciljna IP adresa, korisnički agent, pojedinosti o uređaju i verzije softvera."
Napadač bi zatim iskoristio ranjivost OpenSea kako bi izdvojio NFT nazive svoje mete i povezao odgovarajuću adresu novčanika s identifikacijskim informacijama kao što su e-mail ili telefonski broj na koji je poslana originalna veza.
Imperva je rekla da je OpenSea "brzo riješio problem" i pravilno ograničio komunikaciju knjižnice te izvijestio da platforma "više nije u opasnosti od takvih napada".
Povezano: Sigurnosni tim stvara nadzornu ploču za otkrivanje potencijalnih NFT hakiranja u OpenSea
Korisnici platforme dugo su bili žrtve napada koji oponašaju funkcije OpenSea za poduzimanje eksploatacija, kao što su phishing web stranice koje nalikuju platformi ili pojavljuju se zahtjevi za potpis potjecati iz OpenSea.
samog OpenSea naišao na kritike za sigurnost svoje platforme zbog a veliki phishing napad u veljači 2022. što je rezultiralo krađom NFT-ova u vrijednosti od preko 1.7 milijuna dolara od korisnika.
Što se tiče nedavne zakrpe, nepoznato je koliko je dugo postojala niti je li itko od korisnika bio pogođen iskorištavanjem.
OpenSea nije odmah odgovorila na Cointelegraphov zahtjev za komentar.
Izvor: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities