Nonfungible token (NFT) marketplace OpenSea podobno załatał lukę w zabezpieczeniach, która, jeśli zostanie wykorzystana, może ujawnić informacje identyfikujące jej anonimowych użytkowników.
W marcu 9 blog, firma zajmująca się cyberbezpieczeństwem Imperva, szczegółowo opisał, jak to zrobić odkrył lukę który, jak twierdził, mógł deanonimizować użytkowników OpenSea „poprzez powiązanie adresu IP, sesji przeglądarki lub wiadomości e-mail w określonych warunkach” z NFT.
Ponieważ NFT odpowiada adresowi portfela kryptowalut, prawdziwa tożsamość użytkownika może zostać ujawniona na podstawie zebranych informacji i powiązanych z portfelem i jego aktywnością, wyjaśnił Imperva.
Zespół Imperva Red wykrył lukę w zabezpieczeniach przeszukiwania między witrynami, która ma wpływ na plik #NFT rynek #Otwarte morze.
Luka ta umożliwia deanonimizację użytkowników, potencjalnie ujawniając tożsamość użytkownika. https://t.co/nGQWceeGEc
— Imperwa (@Imperwa) 9 marca 2023 r.
Przyjmuje się, że exploit wykorzystywał lukę w zabezpieczeniach wyszukiwania między witrynami. Imperva twierdzi, że OpenSea źle skonfigurowała bibliotekę, która zmienia rozmiar elementów strony internetowej, które ładują treść HTML z innego miejsca, które są zwykle używane do umieszczania reklam, treści interaktywnych lub osadzonych filmów.
Ponieważ OpenSea nie ograniczyło komunikacji tej biblioteki, exploity mogłyby wykorzystać informacje, które ona emituje, jako „wyrocznię” do zawężania, gdy wyszukiwania nie zwracają żadnych wyników, ponieważ strona internetowa byłaby mniejsza.
Imperva wyszczególnił, że atakujący by to zrobił wysłać swojemu celowi link za pośrednictwem wiadomości e-mail lub SMS-ów, które po kliknięciu „ujawniają cenne informacje, takie jak adres IP celu, agent użytkownika, szczegóły urządzenia i wersje oprogramowania”.
Następnie atakujący wykorzystałby lukę OpenSea do wyodrębnienia nazw NFT swojego celu i powiązania odpowiedniego adresu portfela z informacjami identyfikującymi, takimi jak adres e-mail lub numer telefonu, do którego wysłano oryginalne łącze.
Imperva powiedziała, że OpenSea „szybko rozwiązała problem” i odpowiednio ograniczyła komunikację biblioteki oraz poinformowała, że platforma „nie jest już narażona na takie ataki”.
Związane z: Zespół ds. bezpieczeństwa tworzy pulpit nawigacyjny do wykrywania potencjalnych włamań NFT do OpenSea
Użytkownicy platformy od dawna są ofiarami ataków naśladujących funkcje OpenSea w celu wykorzystywania exploitów, takich jak strony phishingowe przypominające platformę lub pojawiające się prośby o podpis pochodzić z OpenSea.
samego OpenSea spotkała się z krytyką za bezpieczeństwo platformy ze względu na a poważny atak phishingowy w lutym 2022 r., w wyniku którego skradziono użytkownikom NFT o wartości ponad 1.7 miliona dolarów.
Jeśli chodzi o ostatnią łatkę, nie wiadomo, jak długo istniała ani czy jacyś użytkownicy zostali dotknięci przez exploit.
OpenSea nie odpowiedziała natychmiast na prośbę Cointelegraph o komentarz.
Źródło: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities