Tržnica nezamenljivih žetonov (NFT) OpenSea je menda popravila ranljivost, ki bi lahko, če bi bila izkoriščena, razkrila identifikacijske podatke o njegovih anonimnih uporabnikih.
9. marca blog, podjetje za kibernetsko varnost Imperva je podrobno opisalo, kako to odkrili ranljivost za katerega je trdil, da bi lahko deanonimiziral uporabnike OpenSea »s povezovanjem naslova IP, seje brskalnika ali e-pošte pod določenimi pogoji« z NFT.
Ker NFT ustreza naslovu denarnice za kriptovalute, je mogoče pravo identiteto uporabnika razkriti iz zbranih informacij in jih povezati z denarnico in njeno dejavnostjo, je pojasnil Imperva.
Imperva Red Team je odkrila ranljivost iskanja med spletnimi mesti, ki vpliva na #Nft tržnica #OdprtoMorje.
Ta ranljivost omogoča deanonimizacijo uporabnikov, kar lahko razkrije uporabnikovo identiteto. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Marec 9, 2023
Izkoriščanje naj bi izkoristilo ranljivost iskanja med spletnimi mesti. Imperva je trdila, da je OpenSea napačno konfiguriral knjižnico, ki spreminja velikost elementov spletne strani, ki nalagajo vsebino HTML od drugod, ki se običajno uporablja za umestitev oglasov, interaktivne vsebine ali vdelanih videoposnetkov.
Ker OpenSea ni omejeval komunikacij te knjižnice, bi lahko izkoriščevalci informacije, ki jih oddaja, uporabili kot »preročišče« za zožitev, ko iskanje ne vrne rezultatov, saj bi bila spletna stran manjša.
Imperva je podrobno opisala, da bi napadalec svojemu cilju pošljejo povezavo prek e-pošte ali SMS-a, ki ob kliku »razkrije dragocene informacije, kot so ciljni naslov IP, uporabniški agent, podrobnosti o napravi in različice programske opreme«.
Napadalec bi nato uporabil ranljivost OpenSea za pridobivanje imen NFT svojega cilja in povezal ustrezen naslov denarnice z identifikacijskimi informacijami, kot je e-pošta ali telefonska številka, ki ji je bila poslana prvotna povezava.
Imperva je dejala, da je OpenSea "hitro obravnaval težavo" in ustrezno omejil komunikacijo knjižnice ter poročal, da platforma "ni več ogrožena zaradi takih napadov."
Povezano: Varnostna ekipa ustvari nadzorno ploščo za odkrivanje morebitnih vdorov NFT v OpenSea
Uporabniki platforme so že dolgo žrtve napadov, ki posnemajo funkcije OpenSea za izkoriščanje, kot so lažna spletna mesta, ki so podobna platformi ali pojavljajo se zahteve za podpis izvirati iz OpenSea.
OpenSea sama je naletel na kritike za varnost svoje platforme zaradi a večji napad lažnega predstavljanja februarja 2022, zaradi česar so bili uporabnikom ukradeni NFT-ji v vrednosti več kot 1.7 milijona dolarjev.
Kar zadeva nedavni popravek, ni znano, kako dolgo je obstajal in ali je izkoriščanje prizadelo katerega od uporabnikov.
OpenSea se ni takoj odzval na prošnjo Cointelegrafa za komentar.
Vir: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities