A nonfungible token (NFT) piactér, az OpenSea állítólag befoltozott egy biztonsági rést, amelyet kihasználva azonosítható információkat tehet közzé névtelen felhasználóiról.
Egy március 9-án blog, az Imperva kiberbiztonsági cég részletezte, hogyan felfedezte a sebezhetőséget amely állításuk szerint deanonimizálhatja az OpenSea felhasználókat „egy IP-cím, egy böngészőmunkamenet vagy egy e-mail összekapcsolásával bizonyos feltételek mellett” egy NFT-hez.
Mivel az NFT egy kriptovaluta pénztárca címének felel meg, az összegyűjtött információkból és a pénztárcához, illetve annak tevékenységéhez kapcsolódóan a felhasználó valódi személyazonossága kiderülhet – magyarázta Imperva.
Az Imperva Red Team egy webhelyek közötti keresési sebezhetőséget fedezett fel, amely a #NFT piactér #Nyílt tenger.
Ez a biztonsági rés lehetővé teszi a felhasználók anonimizálását, ami felfedheti a felhasználó személyazonosságát. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Március 9, 2023
Feltételezhető, hogy a kihasználás kihasználta a webhelyek közötti keresés sebezhetőségét. Az Imperva azt állította, hogy az OpenSea rosszul konfigurált egy könyvtárat, amely átméretezi a weboldalelemeket, amelyek máshonnan töltenek be HTML-tartalmat, amelyeket általában hirdetések, interaktív tartalom vagy beágyazott videók elhelyezésére használnak.
Mivel az OpenSea nem korlátozta ennek a könyvtárnak a kommunikációját, a kihasználók az általa sugárzott információkat „orákulumként” használhatták, hogy szűkítsék, ha a keresések nem adnak eredményt, mivel a weboldal kisebb lesz.
Imperva részletezte, hogy egy támadó megtenné küldjenek linket a célpontjuknak e-mailben vagy SMS-ben, amelyre kattintva „értékes információkat tár fel, például a cél IP-címét, felhasználói ügynökét, az eszköz adatait és a szoftververziókat”.
A támadó ezután az OpenSea sebezhetőségét használva kibontja célpontja NFT-neveit, és a megfelelő pénztárca-címet azonosító adatokkal, például e-mail-címmel vagy telefonszámmal társítja, amelyre az eredeti linket küldték.
Imperva elmondta, hogy az OpenSea „gyorsan kezelte a problémát”, megfelelően korlátozta a könyvtár kommunikációját, és arról számolt be, hogy a platform „már nincs kitéve ilyen támadásoknak”.
Kapcsolódó: A biztonsági csapat irányítópultot hoz létre az OpenSea potenciális NFT-hackeinek észlelésére
A platform felhasználói hosszú ideje olyan támadások áldozataivá váltak, amelyek az OpenSea funkcióit utánozzák, hogy kizsákmányolást hajtsanak végre, például adathalász webhelyek, amelyek hasonlítanak a platformra vagy aláírási kérések jelennek meg hogy az OpenSea-ből származzon.
maga az OpenSea kritikával szembesült platformbiztonsága miatt a jelentős adathalász támadás 2022 februárjában, aminek következtében több mint 1.7 millió dollár értékű NFT-t loptak el a felhasználóktól.
Ami a legutóbbi javítást illeti, nem ismert, hogy mennyi ideig létezett, vagy hogy érintett-e felhasználókat a kihasználás.
Az OpenSea nem válaszolt azonnal a Cointelegraph megjegyzéskérésére.
Forrás: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities