По сообщениям, рынок невидимых токенов (NFT) OpenSea, как сообщается, исправлена уязвимость, которая, если она используется, может раскрыть идентифицирующую информацию о своих анонимных пользователях.
В блоге от 9 марта фирма кибербезопасности Imperva подробно описала, как она обнаружила уязвимость, которую, как он утверждал, могла бы деанонимировать пользователей OpenSea, «связывая IP -адрес, сеанс браузера или электронное письмо в определенных условиях» с NFT.
Поскольку NFT соответствует адресу кошелька криптовалюты, реальная идентичность пользователя может быть раскрыта из собранной и связанной с кошельком и его деятельностью, объяснил Имперву.
Команда Imperva Red обнаружила уязвимость по перекрестному поиску, влияющую на #NFT Marketplace #Opensea.
- Имперва (@Imperva) 9 марта 2023 г.
Эта уязвимость позволяет деонинимизировать пользователей, потенциально раскрывая идентичность пользователей. https://t.co/ngqwceegec
Понятно, что эксплойт воспользовался преимуществами уязвимости по перекрестному поиску. Imperva утверждала, что OpenSeae неправильно настроила библиотеку, которая изменяет размеры элементов веб -страницы, которые загружают контент HTML из других мест, которые обычно используются для размещения рекламы, интерактивного контента или встроенных видео.
Поскольку OpenSea не ограничивает связь этой библиотеки, эксплуататоры могли использовать информацию, которую она транслирует как «Oracle», чтобы сузить, когда поиски не возвращают результаты, поскольку веб -страница будет меньше.
Imperva подробно рассказала, что злоумышленник отправит свою цель по электронной почте или SMS, которая, если нажав «раскрывает ценную информацию, такую как IP -адрес цели, пользовательский агент, данные устройства и версии программного обеспечения».
Затем злоумышленник будет использовать уязвимость OpenSea для извлечения NFT имен их цели и связывать соответствующий адрес кошелька с идентифицирующей информацией, такой как электронная почта или номер телефона, которая была отправлена исходной ссылкой.
Имперва сказал, что OpenSea «быстро рассмотрел проблему» и должным образом ограничила связь библиотеки и сообщила, что платформа «больше не подвергалась риску таких атак».
Пользователи платформы уже давно стали жертвами атак, которые имитируют функции OpenSea, чтобы выполнять эксплуатации, такие как фишинговые веб -сайты, которые напоминают платформу или запросы подписи, которые происходят из OpenSea.
Сам OpenSea столкнулся с критикой за безопасность своей платформы из -за крупной фишинговой атаки в феврале 2022 года, которая привела к тому, что NFT были украдены у пользователей на сумму более 1,7 млн. Долл. США.
Что касается недавнего патча, то неизвестно, как долго он существовал или на каких -либо пользователей повлияли эксплойт.
OpenSea не сразу ответил на запрос Cointelegraph о комментариях.
Источник
