- OpenSean porsaanreikä onnistuneesti käytettynä olisi voinut antaa hyökkääjälle mahdollisuuden saada käyttäjien identiteetit.
- OpenSea korjasi ongelman nopeasti haavoittuvuuden tullessa esiin.
Kyberturvayritys Imperva havaitsi suuren haavoittuvuuden suositulla NFT-markkinapaikalla Avoin meri, jota onnistuneesti käytettynä hyökkääjä voi saada käyttöympäristön käyttäjien tunnistetiedot.
Impervan mukaan haavoittuvuuden taustalla oli OpenSean käyttämän iFrame-resizer-kirjaston virheelliset asetukset.
Imperva kertoi lisätietoja ongelman hyödyntämismekanismista, että hyökkääjä lähettäisi linkin sähköpostitse tai tekstiviestillä.
Jos uhri napsauttaa linkkiä, haetaan tärkeitä tietoja, kuten kohteen IP-osoite, käyttäjäagentti, laitetiedot ja ohjelmistoversiot.
Sivustoiden välisen haun haavoittuvuutta hyödynnettäisiin kohteen NFT-nimien saamiseen ja hyökkääjä yhdistäisi vuotaneen NFT-/julkisen lompakon osoitteen sähköpostiin tai puhelinnumeroon, johon linkki alun perin lähetettiin.
Impervan raportissa kuitenkin mainittiin, että OpenSea oli korjannut ongelman ilmoituksen jälkeen eikä markkinapaikka ollut enää tällaisten hyökkäysten vaarassa.
Pilattu menneisyys
OpenSea on kohdannut vakavia huolia alustan turvallisuudesta aiemmin. Helmikuussa 2022 se oli yhden NFT-ekosysteemin suurimmista hakkereista.
Hyödynnyksen aikana käyttäjien lompakoista varastettiin NFT:itä 1.7 miljoonan dollarin arvosta. OpenSean toimitusjohtaja Devin Finzer myönsi rikkomuksen.
Toinen päivitys: viime tuntien aikana olemme keskustelleet kymmenien ihmisten, ryhmien ja projektien kanssa NFT-tilassa. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Helmikuu 20, 2022
Alle kolmessa kuukaudessa markkinapaikka osui jälleen, kun se discord-kanava vaarantui. Hakkerit julkaisivat väärennetyn YouTube-yhteistyöuutisen, joka sisälsi linkin tietojenkalastelusivustolle.
Hakkerien vaikutus sai OpenSean ryhtymään konkreettisiin toimiin käyttäjiensä turvaamiseksi. Viime kuussa se esitteli a lisäaika kolmen tunnin ajan, jonka aikana myyjät eivät voi hyväksyä tarjouksia oletetun myynnin jälkeen.
Kaupankäyntitoiminta heikkenee
Samaan aikaan OpenSea näki merkittävän laskun alustan kaupankäynnissä helmikuun puolivälistä lähtien. Viikoittainen NFT-kauppa putosi 40 % painoaikaan asti Token Terminalin tietojen mukaan.
Tämän seurauksena myös tekijöille maksetut rojaltit laskivat. Viikoittaiset tarjontapuolen maksut putosivat 40 % tätä kirjoitettaessa, mikä saattoi saada kiinnostuneet tekijät luopumaan teoksistaan listautumisesta markkinoille.
Lähde: Token Terminal
OpenSea oli saanut kovan iskun Sumennus [BLUR] myrsky, joka pyyhkäisi NFT-markkinapaikan ekosysteemin. Dune Analyticsin tietojen mukaan OpenSean osuus kaupankäynnin kokonaisvolyymista kaikilla markkinapaikoilla laski 26 prosenttiin.
Se onnistui kuitenkin pitämään kiinni merkittävästä osasta käyttäjäkuntaa ja myynnin kokonaismäärää 62.8 %:n ja 51 %:n hallussa.
Lähde: Dune Analytics
Lähde: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/