- Veiksmīgi izmantotā OpenSea nepilnība varēja ļaut uzbrucējam iegūt lietotāju identitātes.
- OpenSea ātri novērsa problēmu pēc ievainojamības parādīšanās.
Kiberdrošības uzņēmums Imperva atklāja lielu ievainojamību populārajā NFT tirgū OpenSea, kas, veiksmīgi izmantojot, varētu ļaut uzbrucējam iegūt platformas lietotāju identitātes.
Saskaņā ar Imperva teikto, OpenSea izmantotās iFrame-resizer bibliotēkas nepareiza konfigurācija bija galvenais ievainojamības iemesls.
Sniedzot sīkāku informāciju par problēmas izmantošanas mehānismu, Imperva paziņoja, ka uzbrucējs nosūtīs saiti pa e-pastu vai SMS.
Ja upuris noklikšķina uz saites, tiks izgūta svarīga informācija, piemēram, mērķa IP adrese, lietotāja aģents, ierīces informācija un programmatūras versijas.
Pēc tam tiktu izmantota starpvietņu meklēšanas ievainojamība, lai iegūtu mērķa NFT nosaukumus, un uzbrucējs saistītu nopludināto NFT/publiskā maka adresi ar e-pasta adresi vai tālruņa numuru, uz kuru saite sākotnēji tika nosūtīta.
Tomēr Imperva ziņojumā minēts, ka OpenSea ir novērsusi problēmu pēc tam, kad par to tika ziņots, un tirgus vairs nebija pakļauts šādu uzbrukumu riskam.
Sabojāta pagātne
OpenSea jau iepriekš ir saskārusies ar nopietnām bažām par platformas drošību. 2022. gada februārī tas bija viens no lielākajiem NFT ekosistēmas uzlaušanas gadījumiem.
Ekspluatācijas laikā no lietotāju makiem tika nozagti NFT 1.7 miljonu dolāru vērtībā. Pārkāpumu atzina OpenSea izpilddirektors Devins Finzers.
Vēl viens atjauninājums: pēdējo stundu laikā mēs esam runājuši ar desmitiem cilvēku, komandu un projektu visā NFT telpā. https://t.co/fB5r3cMA1r
- Devins Finzers (dfinzer.eth) (@dfinzer) Februāris 20, 2022
Mazāk nekā trīs mēnešu laikā tirgus atkal skāra, kad tā Discord kanāls tika apdraudēts. Hakeri ievietoja viltus YouTube sadarbības ziņas, kas ietvēra saiti uz pikšķerēšanas vietni.
Uzlaušanas ietekme lika OpenSea veikt dažus konkrētus pasākumus, lai aizsargātu savus lietotājus. Pagājušajā mēnesī tas ieviesa a labvēlības periods trīs stundas, kuru laikā pārdevēji nevarēs pieņemt piedāvājumus pēc iecerētās pārdošanas.
Tirdzniecības aktivitāte samazinās
Tikmēr OpenSea novēroja ievērojamu tirdzniecības aktivitāšu kritumu platformā kopš februāra vidus. Saskaņā ar Token Terminal datiem iknedēļas NFT tirdzniecība līdz presēšanas laikam kritās par 40%.
Tā rezultātā samazinājās arī autoratlīdzība, kas tika izmaksāta satura veidotājiem. Iknedēļas piedāvājuma puses maksas raksta tapšanas laikā kritās par 40%, kas varētu atturēt ieinteresētos veidotājus no savu darbu iekļaušanas tirgū.
Avots: Token Terminal
OpenSea bija smagi cietis, jo Aizmiglot [BLUR] vētra, kas pārņēma NFT tirgus ekosistēmu. Saskaņā ar Dune Analytics datiem OpenSea daļa kopējā tirdzniecības apjomā visos tirgos tika samazināta līdz 26%.
Tomēr tai joprojām izdevās noturēt ievērojamu lietotāju bāzes daļu un kopējo pārdošanas gadījumu skaitu, dominējot attiecīgi 62.8% un 51%.
Avots: kāpu analīze
Avots: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/