OpenSea popravki potencialno resne ranljivosti

Tržnica NFT OpenSea je nedavno obravnavala ranljivost v svoji kodi, ki bi jo lahko izkoristili za uhajanje uporabniških podatkov. 

Imperva zazna ranljivost OpenSea

9. marca je podjetje za kibernetsko varnost Imperva opozorilo na ranljivost v OpenSea platforma. Podjetje je objavilo objavo na spletnem dnevniku s podrobnostmi o svojih ugotovitvah in trdilo, da ranljivost predstavlja resno varnostno grožnjo uporabniškim podatkom. Zlonamerni akterji bi lahko izkoristili hrošč za odkrivanje osebnih podatkov o uporabnikih, kot so njihove telefonske številke in e-poštni ID-ji. 

Ekipa je tvitnila, 

"Imperva Red Team je odkrila ranljivost iskanja med spletnimi mesti, ki vpliva na tržnico NFT OpenSea."

Ta ranljivost omogoča deanonimizacijo uporabnikov, kar lahko razkrije uporabnikovo identiteto.

Glede na poročilo bi lahko anonimne uporabnike OpenSea razkrili z manipulacijo te napake in povezovanjem naslova IP, seje brskalnika ali celo e-pošte z NFT. Posledično lahko anonimni kupci tvegajo, da bo njihova identiteta razkrita, če se ustrezen naslov kripto denarnice razkrije v povezavi z informacijami, zbranimi iz identifikacijskega naslova. 

Glavni vzrok – Napačna konfiguracija knjižnice

Poročilo nadalje analizira temeljni vzrok zadeve in ugotavlja napačno konfiguracijo knjižnice iFrame-resizer, ki jo uporablja NFT platforma, kar je povzročilo ranljivost iskanja med spletnimi mesti. To pomeni, da je platforma napačno konfigurirala knjižnico, ki spreminja velikost elementov spletne strani in nalaga vsebino HTML od drugod. 

Ta funkcija se uporablja za umeščanje oglasov, interaktivne vsebine ali vdelanih videoposnetkov. Ker platforma OpenSea ni omejevala komunikacije te knjižnice, bi lahko hekerji in drugi zlonamerni akterji zlahka manipulirali z oddanimi informacijami in jih uporabili kot »preročišče« za natančno določanje tarč. 

Nato lahko tarči pošljejo povezavo po e-pošti ali SMS-u. Če tarča klikne povezavo, bodo razkriti njeni osebni podatki, vključno z naslovom IP, uporabniškim agentom, podrobnostmi o napravi in ​​različicami programske opreme. E-poštni naslov in telefonska številka bi lahko delovala kot identifikacijska trga, ki bi napadalcu omogočila dostop do imen NFT-jev, povezanih s tarčo, in njihovega ustreznega naslova denarnice. 

Pomisleki glede varnosti OpenSea

Po poročanju je ekipa OpenSea težavo odpravila tako, da je hitro izdala popravek za odpravo ranljivosti. Ekipa Imperva je potrdila, da ta popravek omejuje medsebojno komunikacijo in bo preprečil prihodnje izkoriščanje ter tako uspešno obravnaval grožnjo. 

Vendar to ni prva varnostna grožnja, s katero se sooča OpenSea. Septembra 2021 je platforma doživela napako, ki je povzročila brisanje NFT-jev vreden 28.44 ETH ali 100,000 USD. Leto pozneje, februarja 2022, je bil OpenSea tarča hekerja, ki je ukradel več NFT-ji visoke vrednosti od uporabnikov platforme. 

Izjava o omejitvi odgovornosti: Ta članek je na voljo samo v informativne namene. Ni ponujen ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.