- Pomyślne wykorzystanie luki w OpenSea mogło pozwolić atakującemu na uzyskanie tożsamości użytkowników.
- OpenSea szybko naprawiła problem, gdy luka wyszła na pierwszy plan.
Firma zajmująca się bezpieczeństwem cybernetycznym Imperva wykrył poważną lukę w popularnym rynku NFT Otwarte morze, które po pomyślnym wykorzystaniu mogłoby pozwolić atakującemu na uzyskanie tożsamości użytkowników na platformie.
Według firmy Imperva główną przyczyną powstania luki była błędna konfiguracja biblioteki iFrame-resizer używanej przez OpenSea.
Podając więcej szczegółów na temat mechanizmu wykorzystania problemu, Imperva stwierdził, że atakujący wyśle link za pośrednictwem wiadomości e-mail lub SMS-a.
Jeśli ofiara kliknie łącze, zostaną odzyskane ważne informacje, takie jak adres IP celu, agent użytkownika, szczegóły urządzenia i wersje oprogramowania.
Luka w zabezpieczeniach przeszukiwania między witrynami zostałaby następnie wykorzystana do uzyskania nazw NFT celu, a następnie osoba atakująca powiązała ujawniony adres NFT/publicznego portfela z adresem e-mail lub numerem telefonu, na który pierwotnie wysłano łącze.
Jednak raport Impervy wspomniał, że OpenSea naprawiła problem po jego zgłoszeniu, a rynek nie był już narażony na takie ataki
Skażona przeszłość
W przeszłości OpenSea borykała się z poważnymi obawami dotyczącymi bezpieczeństwa platformy. W lutym 2022 r. znalazł się w centrum jednego z największych włamań w ekosystemie NFT.
Podczas exploita z portfeli użytkowników skradziono NFT o wartości 1.7 miliona dolarów. Naruszenie zostało potwierdzone przez dyrektora generalnego OpenSea, Devina Finzera.
Kolejna aktualizacja: w ciągu ostatnich kilku godzin rozmawialiśmy z dziesiątkami osób, zespołów i projektów w całej przestrzeni NFT. https://t.co/fB5r3cMA1r
— Devin Finzer (dfinzer.eth) (@dfinzer) 20 lutego 2022 r.
W mniej niż trzy miesiące rynek został ponownie trafiony, gdy jego kanał discord został naruszony. Hakerzy opublikowali fałszywą wiadomość o współpracy z YouTube, która zawierała link do strony phishingowej.
Skutki włamań skłoniły OpenSea do podjęcia konkretnych kroków w celu ochrony swoich użytkowników. W zeszłym miesiącu wprowadziła m.in okres karencji trzech godzin, podczas których sprzedawcy nie będą mogli przyjmować ofert po rzekomej sprzedaży.
Spada aktywność handlowa
Tymczasem OpenSea odnotowała znaczny spadek aktywności handlowej na platformie od połowy lutego. Zgodnie z danymi z Token Terminal, cotygodniowy obrót NFT spadł o 40% do czasu prasy.
W konsekwencji spadły również tantiemy wypłacane twórcom. Tygodniowe opłaty po stronie podaży spadły o 40% w momencie pisania tego tekstu, co może zniechęcić zainteresowanych twórców do zamieszczania ich prac na rynku.
Źródło: Token Terminal
OpenSea został mocno dotknięty z powodu Rozmycie [BLUR] burza, która przetoczyła się przez ekosystem rynku NFT. Według danych z Dune Analytics, udział OpenSea w całkowitym wolumenie obrotu na wszystkich platformach handlowych spadł do 26%.
Jednak nadal udało mu się utrzymać znaczną część bazy użytkowników i całkowitej liczby sprzedaży, z dominacją odpowiednio 62.8% i 51%.
Źródło: Dune Analytics
Źródło: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/