„OpenSea“ pataiso potencialiai rimtą pažeidžiamumą

NFT prekyvietė „OpenSea“ neseniai pašalino savo kodo pažeidžiamumą, kurį galima panaudoti norint nutekėti vartotojo duomenis. 

„Imperva“ aptinka „OpenSea“ pažeidžiamumą

Kovo 9 d. kibernetinio saugumo įmonė „Imperva“ atkreipė dėmesį į pažeidžiamumą OpenSea platforma. Įmonė paskelbė tinklaraščio įrašą, kuriame išsamiai išdėstė savo išvadas ir teigė, kad pažeidžiamumas kelia rimtų grėsmių vartotojų duomenims. Kenkėjiški veikėjai gali pasinaudoti šia klaida, kad atskleistų asmeninę informaciją apie vartotojus, pvz., jų telefono numerius ir el. pašto ID. 

Komanda tviteryje parašė, 

„Imperva Red Team aptiko paieškos įvairiose svetainėse pažeidžiamumą, turintį įtakos NFT rinkai OpenSea.

Šis pažeidžiamumas leidžia deanonimizuoti vartotojus, o tai gali atskleisti vartotojo tapatybę.

Remiantis ataskaita, anoniminiai „OpenSea“ vartotojai gali būti atskleisti manipuliuojant šia klaida ir susiejant IP adresą, naršyklės sesiją ar net el. laišką su NFT. Dėl to anoniminiai pirkėjai gali rizikuoti, kad jų tapatybė bus atskleista, jei atitinkamas kriptovaliutos piniginės adresas bus atskleistas kartu su informacija, surinkta iš identifikuojančio adreso. 

Pagrindinė priežastis – netinkama bibliotekos konfigūracija

Ataskaitoje toliau analizuojama pagrindinė problemos priežastis ir nustatoma netinkama „iFrame-Resizer“ bibliotekos, kurią naudoja NFT platforma, kuris sukėlė paieškos keliose svetainėse pažeidžiamumą. Tai reiškia, kad platforma netinkamai sukonfigūravo biblioteką, kuri pakeičia tinklalapio elementų, įkeliančių HTML turinį iš kitur, dydį. 

Ši funkcija naudojama skelbimams, interaktyviam turiniui arba įterptiesiems vaizdo įrašams talpinti. Kadangi „OpenSea“ platforma neapribojo šios bibliotekos ryšių, įsilaužėliams ir kitiems piktybiniams veikėjams būtų lengva manipuliuoti transliuojama informacija ir naudoti ją kaip „orakulą“ tikslams nustatyti. 

Tada jie galėtų nusiųsti tikslinei nuorodą el. paštu arba SMS žinute. Jei tikslinis asmuo spustelės nuorodą, bus atskleista jo asmeninė informacija, įskaitant IP adresą, vartotojo agentą, įrenginio informaciją ir programinės įrangos versijas. El. pašto adresas ir telefono numeris galėjo būti naudojami kaip identifikavimo rinkos, leidžiančios užpuolikui pasiekti NFT, prijungtų prie taikinio, pavadinimus ir atitinkamą piniginės adresą. 

OpenSea saugumo problemos

Pranešama, kad „OpenSea“ komanda išsprendė problemą greitai išleisdama pataisą, kad ištaisytų pažeidžiamumą. „Imperva“ komanda patvirtino, kad šis pleistras riboja įvairių šaltinių ryšį ir užkirs kelią tolesniam išnaudojimui, taip sėkmingai pašalindama grėsmę. 

Tačiau tai nėra pirmoji „OpenSea“ grėsmė saugumui. 2021 m. rugsėjo mėn. platformoje įvyko klaida, dėl kurios NFT ištrynimas vertė 28.44 ETH arba 100,000 2022 USD. Po metų, XNUMX m. vasario mėn., „OpenSea“ nusitaikė įsilaužėlis, pavogęs keletą didelės vertės NFT iš platformos vartotojų. 

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams tikslams. Jis nėra siūlomas ir nėra skirtas naudoti kaip teisinis, mokesčių, investicijų, finansinis ar kitas patarimas.