OpenSea korjaa potentiaalisen vakavan haavoittuvuuden

NFT-markkinapaikka OpenSea korjasi äskettäin koodissaan olevan haavoittuvuuden, jota voitaisiin hyödyntää käyttäjätietojen vuotamiseen. 

Imperva havaitsee OpenSea-haavoittuvuuden

Kyberturvallisuusyritys Imperva huomautti 9. maaliskuuta haavoittuvuudesta Avoin meri alusta. Yritys julkaisi blogikirjoituksen, jossa kerrottiin havainnoistaan ​​ja väitti, että haavoittuvuus aiheutti vakavia turvallisuusuhkia käyttäjätiedoille. Haitalliset toimijat voivat hyödyntää virhettä paljastaakseen henkilökohtaisia ​​tietoja käyttäjistä, kuten heidän puhelinnumeronsa ja sähköpostiosoitteensa. 

Joukkue twiittasi, 

"Imperva Red Team löysi sivustojen välisen haun haavoittuvuuden, joka vaikuttaa NFT-markkinapaikkaan OpenSeaan."

Tämä haavoittuvuus mahdollistaa käyttäjien deanonymisoinnin, mikä saattaa paljastaa käyttäjän henkilöllisyyden.

Raportin mukaan nimettömät OpenSea-käyttäjät voitaisiin paljastaa manipuloimalla tätä vikaa ja linkittämällä IP-osoite, selainistunto tai jopa sähköposti NFT:hen. Tämän seurauksena anonyymit ostajat voivat vaarantaa henkilöllisyytensä paljastamisen, jos vastaava kryptolompakko-osoite paljastuu tunnistavasta osoitteesta kerättyjen tietojen yhteydessä. 

Perimmäinen syy – kirjaston virheellinen määritys

Raportissa analysoidaan edelleen asian perimmäinen syy ja tunnistetaan iFrame-resizer-kirjaston virheellinen määritys. NFT-alusta, joka aiheutti sivustojen välisen haun haavoittuvuuden. Tämä tarkoittaa, että alusta oli määrittänyt väärin kirjaston, joka muuttaa HTML-sisältöä muualta lataavien verkkosivun elementtien kokoa. 

Tätä ominaisuutta käytetään mainosten, interaktiivisen sisällön tai upotettujen videoiden sijoittamiseen. Koska OpenSea-alusta ei ollut rajoittanut tämän kirjaston viestintää, hakkereiden ja muiden pahantahtoisten toimijoiden olisi helppo manipuloida lähetettyä tietoa ja käyttää sitä "oraakkelina" kohteiden paikantamiseksi. 

He voisivat sitten lähettää kohteelle linkin sähköpostitse tai tekstiviestillä. Jos kohde napsauttaa linkkiä, hänen henkilökohtaiset tietonsa, mukaan lukien IP-osoite, käyttäjäagentti, laitetiedot ja ohjelmistoversiot, paljastuvat. Sähköpostiosoite ja puhelinnumero olisivat voineet toimia tunnistamismarkkinoina, jotta hyökkääjä pääsisi käsiksi kohteeseen yhdistettyjen NFT:iden nimiin ja niitä vastaaviin lompakko-osoitteisiin. 

OpenSean turvallisuusongelmat

Kerrotaan, että OpenSea-tiimi on ratkaissut ongelman julkaisemalla nopeasti korjaustiedoston haavoittuvuuden korjaamiseksi. Imperva-tiimi vahvisti, että tämä korjaustiedosto rajoittaa lähteiden välistä viestintää ja estää tulevaa hyväksikäyttöä, mikä ratkaisee uhan onnistuneesti. 

Tämä ei kuitenkaan ole ensimmäinen OpenSean kohtaama tietoturvauhka. Syyskuussa 2021 alusta koki virheen, joka johti NFT:n poistaminen arvoltaan 28.44 ETH tai 100,000 2022 dollaria. Vuotta myöhemmin, helmikuussa XNUMX, OpenSean kohteena oli hakkeri, joka oli varastanut useita arvokkaat NFT:t alustan käyttäjiltä. 

Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi laki-, vero-, sijoitus-, rahoitus- tai muuna neuvona.