Trh s nezaměnitelnými tokeny (NFT) OpenSea údajně opravila zranitelnost, která by v případě zneužití mohla odhalit identifikační informace o jejích anonymních uživatelích.
V 9. března blog, kybernetická bezpečnostní firma Imperva podrobně popsala, jak na to objevil zranitelnost o kterém tvrdila, že může deanonymizovat uživatele OpenSea „propojením IP adresy, relace prohlížeče nebo e-mailu za určitých podmínek“ s NFT.
Protože NFT odpovídá adrese kryptoměnové peněženky, skutečná identita uživatele by mohla být odhalena ze shromážděných informací a propojených s peněženkou a její aktivitou, vysvětlil Imperva.
Tým Imperva Red Team objevil zranitelnost vyhledávání mezi weby, která má vliv na # NFT inzerce #Otevřené moře.
Tato chyba zabezpečení umožňuje deanonymizaci uživatelů, což může potenciálně odhalit identitu uživatele. https://t.co/nGQWceeGEc
— Imperva (@Imperva) 9. března 2023
Má se za to, že zneužití využilo zranitelnosti vyhledávání mezi weby. Imperva tvrdila, že OpenSea špatně nakonfigurovala knihovnu, která mění velikost prvků webových stránek, které načítají obsah HTML odjinud, což se obvykle používá k umístění reklam, interaktivního obsahu nebo vložených videí.
Protože OpenSea neomezovala komunikaci této knihovny, mohli vykořisťovatelé použít informace, které vysílá, jako „věštec“ k zúžení, když vyhledávání nevrací žádné výsledky, protože webová stránka by byla menší.
Imperva popsal, že útočník by to udělal poslat jejich cíli odkaz prostřednictvím e-mailu nebo SMS, které po kliknutí „odhalí cenné informace, jako je IP adresa cíle, uživatelský agent, podrobnosti o zařízení a verze softwaru“.
Útočník by pak využil zranitelnost OpenSea k extrahování jmen NFT svého cíle a přidružil odpovídající adresu peněženky k identifikačním informacím, jako je e-mail nebo telefonní číslo, na které byl zaslán původní odkaz.
Imperva řekl, že OpenSea „rychle problém vyřešila“ a řádně omezila komunikaci knihovny a oznámila, že platforma „již není ohrožena takovými útoky“.
Související: Bezpečnostní tým vytváří řídicí panel pro detekci potenciálních hacků NFT v OpenSea
Uživatelé platformy se již dlouho stávají obětí útoků, které napodobují funkce OpenSea za účelem zneužití, jako jsou phishingové weby, které se podobají platformě nebo objevující se žádosti o podpis pocházet z OpenSea.
Samotné OpenSea čelil kritice pro zabezpečení platformy díky a velký phishingový útok v únoru 2022, což vedlo k odcizení NFT v hodnotě více než 1.7 milionu dolarů uživatelům.
Pokud jde o nedávný patch, není známo, jak dlouho existoval nebo zda byl zneužití ovlivněno některými uživateli.
OpenSea neodpověděla okamžitě na žádost Cointelegraph o komentář.
Zdroj: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities