Tiek ziņots, ka Nonfungible Token (NFT) tirgus laukums OpenSea ir izlabojis ievainojamību, kas, ja tā tiktu izmantota, varētu atklāt identificējošu informāciju par tā anonīmajiem lietotājiem.
Kādā 9. martā blog, kiberdrošības firma Imperva sīki izklāstīja, kā tas atklāja ievainojamību kas varētu deanonimizēt OpenSea lietotājus, “noteiktos apstākļos saistot IP adresi, pārlūkprogrammas sesiju vai e-pastu” ar NFT.
Tā kā NFT atbilst kriptovalūtas maka adresei, lietotāja īstā identitāte varētu tikt atklāta no apkopotās informācijas, kas saistīta ar maku un tā darbību, skaidroja Imperva.
Imperva Red Team atklāja starpvietņu meklēšanas ievainojamību, kas ietekmē #NFT Marketplace #AtvērtāJūra.
Šī ievainojamība ļauj deanonimizēt lietotājus, iespējams, atklājot lietotāja identitāti. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Marts 9, 2023
Tiek uzskatīts, ka ekspluatācijā ir izmantota starpvietņu meklēšanas ievainojamība. Imperva apgalvoja, ka OpenSea ir nepareizi konfigurējis bibliotēku, kas maina tīmekļa lapas elementu izmērus, kas ielādē HTML saturu no citurienes, ko parasti izmanto reklāmu, interaktīva satura vai iegulto videoklipu ievietošanai.
Tā kā OpenSea neierobežoja šīs bibliotēkas saziņu, izmantotāji varēja izmantot tās pārraidīto informāciju kā “orākulu”, lai sašaurinātu meklēšanas rezultātus, jo tīmekļa lapa būtu mazāka.
Imperva paskaidroja, ka uzbrucējs to darītu nosūtiet savam mērķim saiti pa e-pastu vai SMS, uz kuras noklikšķinot, tiek parādīta vērtīga informācija, piemēram, mērķa IP adrese, lietotāja aģents, ierīces informācija un programmatūras versijas.
Pēc tam uzbrucējs izmantos OpenSea ievainojamību, lai izvilktu sava mērķa NFT nosaukumus un saistītu atbilstošo maka adresi ar identificējošu informāciju, piemēram, e-pastu vai tālruņa numuru, uz kuru tika nosūtīta sākotnējā saite.
Imperva sacīja, ka OpenSea "ātri novērsa problēmu" un pareizi ierobežoja bibliotēkas sakarus, kā arī ziņoja, ka platforma "vairs nav pakļauta šādu uzbrukumu riskam".
Saistītie: Drošības komanda izveido informācijas paneli, lai atklātu iespējamos NFT hacks OpenSea
Platformas lietotāji jau sen ir cietuši no uzbrukumiem, kas atdarina OpenSea funkcijas, lai veiktu ekspluatāciju, piemēram, pikšķerēšanas vietnes, kas atgādina platformu vai parādās parakstu pieprasījumi lai nāk no OpenSea.
pati OpenSea ir saskāries ar kritiku par tās platformas drošību a liels pikšķerēšanas uzbrukums 2022. gada februārī, kā rezultātā lietotājiem tika nozagti NFT vairāk nekā 1.7 miljonu dolāru vērtībā.
Kas attiecas uz neseno ielāpu, nav zināms, cik ilgi tas pastāvēja un vai izmantojums ir skāris kādus lietotājus.
OpenSea nekavējoties neatbildēja uz Cointelegraph komentāru pieprasījumu.
Avots: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities