- Sėkmingai išnaudota „OpenSea“ spraga galėjo leisti užpuolikui gauti vartotojų tapatybes.
- „OpenSea“ greitai išsprendė problemą, kai pažeidžiamumas išryškėjo.
Kibernetinės saugos įmonė Imperva aptiko didelį pažeidžiamumą populiarioje NFT rinkoje OpenSea, kurią sėkmingai išnaudojus, užpuolikas gali gauti platformos vartotojų tapatybes.
„Imperva“ teigimu, „OpenSea“ naudojamos „iFrame-Resizer“ bibliotekos netinkama konfigūracija buvo pagrindinė pažeidžiamumo priežastis.
Pateikdama daugiau informacijos apie problemos išnaudojimo mechanizmą, Imperva pareiškė, kad užpuolikas atsiųs nuorodą el. paštu arba SMS žinute.
Jei auka spustelėja nuorodą, bus nuskaityta svarbi informacija, pvz., tikslo IP adresas, vartotojo agentas, įrenginio informacija ir programinės įrangos versijos.
Tada būtų išnaudojamas kelių svetainių paieškos pažeidžiamumas, siekiant gauti taikinio NFT vardus, o užpuolikas susietų nutekintą NFT / viešosios piniginės adresą su el. pašto adresu arba telefono numeriu, kuriuo nuoroda buvo išsiųsta iš pradžių.
Tačiau „Imperva“ ataskaitoje paminėta, kad „OpenSea“ išsprendė problemą po to, kai buvo pranešta, ir rinkai nebegresia tokių atakų.
Sutepta praeitis
„OpenSea“ praeityje susidūrė su rimtu susirūpinimu dėl platformos saugumo. 2022 m. vasario mėn. jis buvo vieno didžiausių įsilaužimų NFT ekosistemoje centre.
Išnaudojimo metu iš vartotojų piniginių buvo pavogta NFT už 1.7 mln. Pažeidimą pripažino „OpenSea“ generalinis direktorius Devinas Finzeris.
Kitas atnaujinimas: per pastarąsias kelias valandas kalbėjome su daugybe žmonių, komandų ir projektų visoje NFT erdvėje. https://t.co/fB5r3cMA1r
- Devinas Finzeris (dfinzer.eth) (@dfinzer) Vasaris 20, 2022
Mažiau nei per tris mėnesius turgavietė vėl nukentėjo, kai jos discord kanalas buvo pažeistas. Įsilaužėliai paskelbė netikrą „YouTube“ bendradarbiavimo naujieną, kurioje buvo nuoroda į sukčiavimo svetainę.
Įsilaužimų poveikis privertė „OpenSea“ imtis konkrečių veiksmų, kad apsaugotų savo vartotojus. Praėjusį mėnesį ji pristatė a lengvatinis laikotarpis tris valandas, per kurias pardavėjai negalės priimti pasiūlymų po tariamo pardavimo.
Prekybos aktyvumas mažėja
Tuo tarpu OpenSea platformoje nuo vasario vidurio smarkiai sumažėjo prekybos veikla. Remiantis Token Terminal duomenimis, savaitinė NFT prekyba nukrito 40% iki spaudos laiko.
Dėl to sumažėjo ir kūrėjams mokamas honoraras. Rašant šį straipsnį, savaitiniai tiekimo mokesčiai sumažėjo 40%, o tai galėjo atgrasyti suinteresuotus kūrėjus nuo savo darbų įtraukimo į rinką.
Šaltinis: „Token Terminal“
OpenSea buvo smarkiai nukentėjęs dėl to Sulieti [BLUR] audra, apėmusi NFT prekyvietės ekosistemą. Remiantis „Dune Analytics“ duomenimis, „OpenSea“ dalis bendroje prekybos apimtyje visose rinkose sumažėjo iki 26%.
Tačiau jis vis tiek sugebėjo išlaikyti didelę vartotojų bazės dalį ir bendrą pardavimų skaičių, dominuojant atitinkamai 62.8% ir 51%.
Šaltinis: „Dune Analytics“
Šaltinis: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/