OpenSea opravuje potenciálně závažnou zranitelnost

NFT tržiště OpenSea nedávno řešilo zranitelnost ve svém kódu, která by mohla být zneužita k úniku uživatelských dat. 

Imperva detekuje zranitelnost OpenSea

9. března kybernetická bezpečnostní firma Imperva upozornila na zranitelnost v Otevřené moře plošina. Firma zveřejnila blogový příspěvek s podrobnostmi o svých zjištěních a tvrdila, že zranitelnost představuje vážné bezpečnostní hrozby pro uživatelská data. Zlomyslní herci by mohli chybu zneužít k odhalení osobních informací o uživatelích, jako jsou jejich telefonní čísla a e-mailová ID. 

Tým tweetoval, 

„Imperva Red Team objevil zranitelnost vyhledávání napříč weby, která ovlivňuje tržiště NFT OpenSea.“

Tato chyba zabezpečení umožňuje deanonymizaci uživatelů, což může potenciálně odhalit identitu uživatele.

Podle zprávy by anonymní uživatelé OpenSea mohli být odhaleni manipulací s touto chybou a propojením IP adresy, relace prohlížeče nebo dokonce e-mailu s NFT. V důsledku toho mohou anonymní kupující riskovat odhalení své identity, pokud je odpovídající adresa kryptopeněženky odhalena v souvislosti s informacemi získanými z identifikační adresy. 

Root-Cause – Nesprávná konfigurace knihovny

Zpráva dále analyzuje hlavní příčinu problému a identifikuje nesprávnou konfiguraci knihovny iFrame-resizer používané NFT platforma, což způsobilo zranitelnost vyhledávání mezi weby. To znamená, že platforma špatně nakonfigurovala knihovnu, která mění velikost prvků webových stránek načítajících obsah HTML odjinud. 

Tato funkce se používá k umístění reklam, interaktivního obsahu nebo vložených videí. Protože platforma OpenSea neomezovala komunikaci této knihovny, bylo by pro hackery a další zlomyslné aktéry snadné manipulovat s vysílanými informacemi a používat je jako „věštec“ k určení cílů. 

Poté mohli cíli poslat odkaz prostřednictvím e-mailu nebo SMS. Pokud cílový uživatel klikne na odkaz, odhalí se jeho osobní údaje, včetně jeho IP adresy, uživatelského agenta, podrobností o zařízení a verzí softwaru. E-mailová adresa a telefonní číslo mohly fungovat jako identifikační trhy, které útočníkovi umožnily přístup k názvům NFT připojených k cíli a jejich odpovídající adrese peněženky. 

Bezpečnostní obavy OpenSea

Tým OpenSea údajně problém vyřešil rychlým vydáním opravy, která tuto zranitelnost opraví. Tým Imperva potvrdil, že tato oprava omezuje komunikaci napříč původy a zabrání budoucímu zneužití, čímž úspěšně řeší hrozbu. 

Toto však není první bezpečnostní hrozba, které OpenSea čelí. V září 2021 se na platformě objevila chyba, která vedla k odstranění NFT v hodnotě 28.44 ETH nebo 100,000 2022 $. O rok později, v únoru XNUMX, se OpenSea stal terčem hackera, který ukradl několik vysoce hodnotné NFT od uživatelů platformy. 

Zřeknutí se odpovědnosti: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.