NFT-markedsplassen OpenSea adresserte nylig en sårbarhet i koden deres som kan utnyttes til å lekke brukerdata.
Imperva oppdager OpenSea-sårbarhet
9. mars påpekte cybersikkerhetsfirmaet Imperva en sårbarhet i OpenSea plattform. Firmaet publiserte et blogginnlegg som beskriver funnene sine og hevdet at sårbarheten utgjorde alvorlige sikkerhetstrusler mot brukerdata. Ondsinnede aktører kan utnytte feilen til å avdekke personlig informasjon om brukere, som deres telefonnumre og e-post-IDer.
Teamet twitret,
"Imperva Red Team oppdaget en sårbarhet for søk på tvers av nettsteder som påvirker NFT-markedsplassen OpenSea."
Denne sårbarheten tillater deanonymisering av brukere, som potensielt avslører en brukers identitet.
I følge rapporten kan anonyme OpenSea-brukere avdukes ved å manipulere denne feilen og koble en IP-adresse, en nettleserøkt eller til og med en e-post til en NFT. Som et resultat kan anonyme kjøpere risikere å få sin identitet avslørt hvis den tilsvarende kryptolommebokadressen avsløres i forbindelse med informasjonen som er samlet inn fra identifiseringsadressen.
Root-Cause – Bibliotek feilkonfigurasjon
Rapporten analyserer videre årsaken til saken, og identifiserer feilkonfigurasjonen av iFrame-resizer-biblioteket som brukes av NFT-plattform, som forårsaket sikkerhetssårbarheten for søk på tvers av nettsteder. Dette betyr at plattformen hadde feilkonfigurert et bibliotek som endrer størrelse på nettsideelementer som laster HTML-innhold fra andre steder.
Denne funksjonen brukes til å plassere annonser, interaktivt innhold eller innebygde videoer. Siden OpenSea-plattformen ikke hadde begrenset dette bibliotekets kommunikasjon, ville det være lett for hackere og andre ondsinnede aktører å manipulere den kringkastede informasjonen og bruke den som et "orakel" for å finne mål.
De kunne deretter sende målet en lenke via e-post eller SMS. Hvis målet klikker på koblingen, avsløres deres personlige opplysninger, inkludert IP-adresse, brukeragent, enhetsdetaljer og programvareversjoner. E-postadressen og telefonnummeret kunne ha fungert som identifiserende markeder for å la angriperen få tilgang til navnene på NFT-ene som er koblet til målet og deres tilsvarende lommebokadresse.
OpenSeas sikkerhetsbekymringer
Det sies at OpenSea-teamet har løst problemet ved å raskt gi ut en oppdatering for å fikse sårbarheten. Imperva-teamet bekreftet at denne oppdateringen begrenser kommunikasjon på tvers av opprinnelse og vil forhindre fremtidig utnyttelse, og dermed håndtere trusselen.
Dette er imidlertid ikke den første sikkerhetstrusselen OpenSea står overfor. I september 2021 opplevde plattformen en feil som resulterte i sletting av NFT-er verdt 28.44 ETH eller $100,000 2022. Frem til et år senere, i februar XNUMX, ble OpenSea målrettet av en hacker som hadde stjålet flere NFT-er av høy verdi fra plattformens brukere.
Ansvarsfraskrivelse: Denne artikkelen er kun gitt for informasjonsformål. Det tilbys eller er ikke ment å brukes som juridisk, skatt, investering, økonomisk eller annen rådgivning.
Kilde: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability