Potencjalnie poważna luka w zabezpieczeniach OpenSea

Platforma NFT OpenSea niedawno zajęła się luką w kodzie, którą można wykorzystać do wycieku danych użytkownika. 

Imperva wykrywa lukę w zabezpieczeniach OpenSea

9 marca firma Imperva zajmująca się cyberbezpieczeństwem zwróciła uwagę na lukę w zabezpieczeniach Otwarte morze platforma. Firma opublikowała post na blogu szczegółowo opisujący swoje ustalenia i stwierdziła, że ​​luka w zabezpieczeniach stanowi poważne zagrożenie dla bezpieczeństwa danych użytkownika. Złośliwi aktorzy mogą wykorzystać ten błąd, aby odkryć dane osobowe użytkowników, takie jak ich numery telefonów i identyfikatory e-mail. 

Zespół napisał na Twitterze, 

„Zespół Imperva Red odkrył lukę w zabezpieczeniach wyszukiwania między witrynami, która ma wpływ na rynek NFT OpenSea”.

Luka ta umożliwia deanonimizację użytkowników, potencjalnie ujawniając tożsamość użytkownika.

Według raportu anonimowi użytkownicy OpenSea mogą zostać ujawnieni poprzez manipulowanie tym błędem i powiązanie adresu IP, sesji przeglądarki, a nawet wiadomości e-mail z NFT. W rezultacie anonimowi kupujący mogą ryzykować ujawnienie swojej tożsamości, jeśli odpowiedni adres portfela kryptograficznego zostanie ujawniony w związku z informacjami zebranymi z adresu identyfikacyjnego. 

Główna przyczyna — błędna konfiguracja biblioteki

Raport dalej analizuje pierwotną przyczynę problemu, identyfikując błędną konfigurację biblioteki iFrame-resizer używanej przez Platforma NFT, co spowodowało lukę w zabezpieczeniach wyszukiwania między witrynami. Oznacza to, że platforma źle skonfigurowała bibliotekę, która zmienia rozmiar elementów strony internetowej, ładując zawartość HTML z innego miejsca. 

Ta funkcja służy do umieszczania reklam, treści interaktywnych lub osadzonych filmów. Ponieważ platforma OpenSea nie ograniczyła komunikacji tej biblioteki, hakerom i innym złośliwym podmiotom łatwo byłoby manipulować nadawanymi informacjami i wykorzystywać je jako „wyrocznię” do określania celów. 

Mogli następnie wysłać celowi link za pośrednictwem wiadomości e-mail lub SMS-a. Jeśli cel kliknie łącze, jego dane osobowe, w tym adres IP, agent użytkownika, szczegóły urządzenia i wersje oprogramowania, zostaną ujawnione. Adres e-mail i numer telefonu mogły działać jako rynki identyfikujące, aby umożliwić atakującemu dostęp do nazw NFT połączonych z celem i odpowiadającego im adresu portfela. 

Obawy dotyczące bezpieczeństwa OpenSea

Podobno zespół OpenSea rozwiązał ten problem, wydając szybko łatkę naprawiającą lukę. Zespół Imperva potwierdził, że ta poprawka ogranicza komunikację między źródłami i zapobiegnie przyszłemu wykorzystaniu, tym samym skutecznie usuwając zagrożenie. 

Nie jest to jednak pierwsze zagrożenie bezpieczeństwa, z jakim boryka się OpenSea. We wrześniu 2021 r. na platformie wystąpił błąd, w wyniku którego plik usuwanie NFT o wartości 28.44 ETH lub 100,000 2022 USD. Rok później, w lutym XNUMX r., OpenSea stał się celem hakera, który ukradł kilka NFT o wysokiej wartości od użytkowników platformy. 

Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.