- Az OpenSea kiskapuja sikeres kihasználása esetén lehetővé tehette volna a támadó számára, hogy megszerezze a felhasználók azonosítását.
- Az OpenSea gyorsan orvosolta a problémát, miután a sérülékenység előtérbe került.
Kiberbiztonsági cég Imperva jelentős sebezhetőséget észlelt a népszerű NFT-piacon Nyílt tenger, amelynek sikeres kihasználása esetén a támadó megszerezheti a platform felhasználóinak azonosítóit.
Az Imperva szerint az OpenSea által használt iFrame-resizer könyvtár hibás konfigurálása volt a sebezhetőség fő oka.
Az Imperva további részleteket közölt a probléma kihasználási mechanizmusáról, és kijelentette, hogy a támadó e-mailben vagy SMS-ben küld egy linket.
Ha az áldozat rákattint a hivatkozásra, olyan létfontosságú információk kerülnek lekérésre, mint a célpont IP-címe, felhasználói ügynöke, az eszköz adatai és a szoftververziók.
A webhelyek közötti keresési sebezhetőséget ezután kihasználják a célpont NFT-neveinek lekérésére, és a támadó a kiszivárgott NFT-/nyilvános pénztárca-címet társítja azzal az e-mail-címmel vagy telefonszámmal, amelyre a linket eredetileg küldték.
Az Imperva jelentése azonban megemlítette, hogy az OpenSea a bejelentést követően javította a problémát, és a piacteret már nem fenyegeti ilyen támadások.
Káros múlt
Az OpenSea korábban komoly aggályokkal szembesült a platform biztonságával kapcsolatban. 2022 februárjában az NFT-ökoszisztéma egyik legnagyobb feltörésének középpontjában állt.
A visszaélés során 1.7 millió dollár értékű NFT-t loptak el a felhasználók pénztárcájából. A jogsértést Devin Finzer, az OpenSea vezérigazgatója ismerte el.
Újabb frissítés: az elmúlt néhány órában több tucat emberrel, csapattal és projekttel beszélgettünk az NFT térben. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Február 20, 2022
Kevesebb, mint három hónap alatt a piacot ismét sújtotta, amikor az diszcord csatorna veszélybe került. A hackerek egy hamis YouTube együttműködési hírt tettek közzé, amely egy adathalász oldalra mutató linket tartalmazott.
A hackek hatása arra késztette az OpenSea-t, hogy tegyen néhány konkrét lépést a felhasználók védelme érdekében. A múlt hónapban bemutatta a türelmi idő három óra, amely alatt az eladók nem fogadhatnak el ajánlatokat egy feltételezett eladás után.
A kereskedési aktivitás csökken
Eközben az OpenSea február közepe óta jelentős visszaesést tapasztalt a platform kereskedési tevékenységében. A heti NFT kereskedés 40%-ot zuhant a sajtóig, a Token Terminal adatai szerint.
Ennek következtében az alkotóknak fizetett jogdíjak is csökkentek. A heti kínálati oldali díjak a cikk írásakor 40%-kal zuhantak, ami eltántoríthatta az érdeklődő alkotókat attól, hogy munkáik piacra kerüljenek.
Forrás: Token Terminal
Az OpenSea súlyosan érintette a Elmosás [BLUR] vihar, amely végigsöpört az NFT-piaci ökoszisztémán. A Dune Analytics adatai szerint az OpenSea részesedése a teljes kereskedési volumenből az összes piactéren 26%-ra csökkent.
Ennek ellenére továbbra is sikerült megtartania a felhasználói bázis jelentős részét és az eladások teljes számát, 62.8%-os, illetve 51%-os dominanciával.
Forrás: Dune Analytics
Forrás: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/