- Pokud byla mezera na OpenSea úspěšně zneužita, mohla útočníkovi umožnit získat identity uživatelů.
- OpenSea problém rychle vyřešila poté, co se zranitelnost dostala do popředí.
Společnost zabývající se kybernetickou bezpečností Imperva zjistil hlavní zranitelnost na populárním trhu NFT Otevřené moře, která by při úspěšném zneužití mohla útočníkovi umožnit získat identity uživatelů na platformě.
Podle Impervy byla hlavním důvodem chyby zabezpečení nesprávná konfigurace knihovny iFrame-resizer používané OpenSea.
Při poskytnutí dalších podrobností o mechanismu zneužití problému Imperva uvedl, že útočník pošle odkaz prostřednictvím e-mailu nebo SMS.
Pokud oběť klikne na odkaz, získají se důležité informace, jako je IP adresa cíle, uživatelský agent, podrobnosti o zařízení a verze softwaru.
Zranitelnost vyhledávání mezi stránkami by pak byla zneužita k získání cílových jmen NFT a útočník by pak spojil uniklou adresu NFT/veřejné peněženky s e-mailem nebo telefonním číslem, kam byl odkaz původně odeslán.
Zpráva společnosti Imperva však uvedla, že OpenSea problém po nahlášení vyřešila a tržišti již takové útoky nehrozily.
Poskvrněná minulost
OpenSea v minulosti čelila vážným obavám ohledně bezpečnosti platformy. V únoru 2022 to bylo v centru jednoho z největších hacků v ekosystému NFT.
Během exploitu byly z peněženek uživatelů ukradeny NFT v hodnotě 1.7 milionu dolarů. Porušení přiznal generální ředitel OpenSea Devin Finzer.
Další aktualizace: během posledních několika hodin jsme mluvili s desítkami lidí, týmů a projektů napříč prostorem NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Února 20, 2022
Za méně než tři měsíce bylo tržiště znovu zasaženo Discord kanál byl kompromitován. Hackeři zveřejnili falešnou zprávu o spolupráci na YouTube, která obsahovala odkaz na phishingovou stránku.
Dopad hacků přiměl OpenSea podniknout konkrétní kroky k ochraně svých uživatelů. Minulý měsíc představila a doba odkladu po dobu tří hodin, během kterých prodejci nebudou moci přijímat nabídky po domnělém prodeji.
Obchodní aktivita klesá
Mezitím OpenSea zaznamenala od poloviny února výrazný pokles v obchodní aktivitě na platformě. Týdenní obchodování NFT se do doby tisku propadlo o 40 % podle údajů z Token Terminal.
V důsledku toho klesly i autorské honoráře vyplácené tvůrcům. Týdenní poplatky na straně nabídky klesly v době psaní článku o 40 %, což mohlo odradit zainteresované tvůrce od uvedení jejich díla na trh.
Zdroj: Token Terminal
OpenSea byla kvůli tomu těžce zasažena Rozmazat [BLUR] bouře, která se přehnala ekosystémem trhu NFT. Podle údajů z Dune Analytics se podíl OpenSea na celkovém objemu obchodů na všech tržištích snížil na 26 %.
Stále si však dokázal udržet významný kus uživatelské základny a celkového počtu prodejů s dominancí 62.8 %, respektive 51 %.
Zdroj: Dune Analytics
Zdroj: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/