- Vrzel v OpenSea, ko je bila uspešno izkoriščena, bi lahko napadalcu omogočila pridobitev identitete uporabnikov.
- OpenSea je hitro odpravil težavo, potem ko je ranljivost prišla v ospredje.
Podjetje za kibernetsko varnost Imperva zaznal veliko ranljivost na priljubljeni tržnici NFT OpenSea, ki bi ob uspešni izrabi lahko napadalcu omogočil pridobitev identitete uporabnikov na platformi.
Po mnenju Imperve je bila napačna konfiguracija knjižnice iFrame-resizer, ki jo uporablja OpenSea, glavni razlog za ranljivost.
Ob zagotavljanju več podrobnosti o mehanizmu izkoriščanja težave je Imperva izjavila, da bo napadalec poslal povezavo po e-pošti ali SMS-u.
Če žrtev klikne na povezavo, bi bile pridobljene pomembne informacije, kot so ciljni naslov IP, uporabniški agent, podrobnosti o napravi in različice programske opreme.
Ranljivost iskanja med spletnimi mesti bi bila nato izkoriščena za pridobitev ciljnih imen NFT, napadalec pa bi nato razkriti naslov NFT/javne denarnice povezal z e-pošto ali telefonsko številko, kamor je bila povezava prvotno poslana.
Vendar je Impervino poročilo omenilo, da je OpenSea popravil težavo, potem ko je bila prijavljena, in trg ni bil več izpostavljen tveganju takšnih napadov
Okužena preteklost
OpenSea se je v preteklosti soočal z resnimi pomisleki glede varnosti platforme. Februarja 2022 je bil v središču enega največjih vdorov v ekosistemu NFT.
Med izkoriščanjem je bilo iz denarnic uporabnikov ukradenih NFT-jev v vrednosti 1.7 milijona dolarjev. Kršitev je priznal generalni direktor OpenSea Devin Finzer.
Še ena posodobitev: v zadnjih nekaj urah smo se pogovarjali z na desetine ljudi, ekip in projektov v prostoru NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Februar 20, 2022
V manj kot treh mesecih je trg znova udaril, ko je njegov kanal discord je bil ogrožen. Hekerji so objavili lažno novico o sodelovanju v YouTubu, ki je vsebovala povezavo do lažnega spletnega mesta.
Zaradi vdorov je OpenSea sprejel nekaj konkretnih ukrepov za zaščito svojih uporabnikov. Prejšnji mesec je predstavil a milostno obdobje treh ur, v katerih bo prodajalcem onemogočeno sprejemanje ponudb po domnevni prodaji.
Trgovska aktivnost upada
Medtem je OpenSea od sredine februarja opazil znaten padec trgovalne dejavnosti na platformi. Tedensko trgovanje z NFT je padlo za 40 % do časa tiska, glede na podatke iz terminala žetonov.
Posledično so se znižali tudi avtorski honorarji, izplačani ustvarjalcem. Tedenske pristojbine na strani ponudbe so v času pisanja padle za 40 %, kar bi lahko zainteresirane ustvarjalce odvrnilo od tega, da bi svoje delo uvrstili na trg.
Vir: Token Terminal
OpenSea je bil močno prizadet zaradi Zameglitev [BLUR] nevihta, ki je zajela tržni ekosistem NFT. Po podatkih Dune Analytics se je delež OpenSea v skupnem obsegu trgovanja na vseh trgih zmanjšal na 26 %.
Kljub temu mu je še vedno uspelo obdržati znaten del uporabniške baze in skupnega števila prodaj s prevlado 62.8 % oziroma 51 %.
Vir: Dune Analytics
Vir: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/