Το OpenSea διορθώνει δυνητικά σοβαρή ευπάθεια

Η αγορά NFT OpenSea αντιμετώπισε πρόσφατα μια ευπάθεια στον κώδικά της που θα μπορούσε να εκμεταλλευτεί για τη διαρροή δεδομένων χρήστη. 

Το Imperva ανιχνεύει ευπάθεια στο OpenSea

Στις 9 Μαρτίου, η εταιρεία κυβερνοασφάλειας Imperva επεσήμανε μια ευπάθεια στο OpenSea πλατφόρμα. Η εταιρεία δημοσίευσε μια ανάρτηση ιστολογίου που περιγράφει λεπτομερώς τα ευρήματά της και ισχυρίστηκε ότι η ευπάθεια αποτελούσε σοβαρές απειλές για την ασφάλεια των δεδομένων των χρηστών. Κακόβουλοι παράγοντες θα μπορούσαν να εκμεταλλευτούν το σφάλμα για να αποκαλύψουν προσωπικές πληροφορίες σχετικά με τους χρήστες, όπως τους αριθμούς τηλεφώνου και τα αναγνωριστικά email τους. 

Η ομάδα έγραψε στο Twitter, 

"Η ομάδα Imperva Red ανακάλυψε μια ευπάθεια αναζήτησης μεταξύ τοποθεσιών που επηρεάζει την αγορά NFT OpenSea."

Αυτή η ευπάθεια επιτρέπει την αποανωνυμοποίηση των χρηστών, αποκαλύπτοντας πιθανώς την ταυτότητα ενός χρήστη.

Σύμφωνα με την έκθεση, οι ανώνυμοι χρήστες του OpenSea θα μπορούσαν να αποκαλυφθούν χειραγωγώντας αυτό το σφάλμα και συνδέοντας μια διεύθυνση IP, μια περίοδο λειτουργίας προγράμματος περιήγησης ή ακόμα και ένα email σε ένα NFT. Ως αποτέλεσμα, οι ανώνυμοι αγοραστές μπορεί να διακινδυνεύσουν να αποκαλυφθεί η ταυτότητά τους εάν αποκαλυφθεί η αντίστοιχη διεύθυνση κρυπτογραφικού πορτοφολιού σε σχέση με τις πληροφορίες που συλλέγονται από τη διεύθυνση αναγνώρισης. 

Root-Cause – Εσφαλμένη διαμόρφωση βιβλιοθήκης

Η έκθεση αναλύει περαιτέρω τη βασική αιτία του θέματος, εντοπίζοντας την εσφαλμένη διαμόρφωση της βιβλιοθήκης iFrame-resizer που χρησιμοποιείται από το Πλατφόρμα NFT, το οποίο προκάλεσε την ευπάθεια αναζήτησης μεταξύ τοποθεσιών. Αυτό σημαίνει ότι η πλατφόρμα είχε παραμετροποιήσει εσφαλμένα μια βιβλιοθήκη που αλλάζει μέγεθος στοιχεία ιστοσελίδας φορτώνοντας περιεχόμενο HTML από αλλού. 

Αυτή η δυνατότητα χρησιμοποιείται για την τοποθέτηση διαφημίσεων, διαδραστικού περιεχομένου ή ενσωματωμένων βίντεο. Εφόσον η πλατφόρμα OpenSea δεν είχε περιορίσει τις επικοινωνίες αυτής της βιβλιοθήκης, θα ήταν εύκολο για τους χάκερ και άλλους κακόβουλους παράγοντες να χειραγωγήσουν τις μεταδιδόμενες πληροφορίες και να τις χρησιμοποιήσουν ως «μαντείο» για τον εντοπισμό στόχων. 

Στη συνέχεια, θα μπορούσαν να στείλουν στον στόχο έναν σύνδεσμο μέσω email ή SMS. Εάν ο στόχος κάνει κλικ στον σύνδεσμο, τα προσωπικά του στοιχεία, συμπεριλαμβανομένης της διεύθυνσης IP, του παράγοντα χρήστη, των στοιχείων της συσκευής και των εκδόσεων λογισμικού, θα αποκαλυφθούν. Η διεύθυνση email και ο αριθμός τηλεφώνου θα μπορούσαν να λειτουργήσουν ως αγορές αναγνώρισης για να επιτρέψουν στον εισβολέα να έχει πρόσβαση στα ονόματα των NFT που συνδέονται με τον στόχο και στην αντίστοιχη διεύθυνση πορτοφολιού τους. 

Ανησυχίες ασφαλείας του OpenSea

Σύμφωνα με πληροφορίες, η ομάδα του OpenSea αντιμετώπισε το πρόβλημα δημοσιεύοντας γρήγορα μια ενημέρωση κώδικα για να διορθώσει την ευπάθεια. Η ομάδα Imperva επιβεβαίωσε ότι αυτή η ενημέρωση κώδικα περιορίζει την επικοινωνία μεταξύ προέλευσης και θα αποτρέψει τη μελλοντική εκμετάλλευση, αντιμετωπίζοντας έτσι με επιτυχία την απειλή. 

Ωστόσο, αυτή δεν είναι η πρώτη απειλή ασφαλείας που αντιμετωπίζει το OpenSea. Τον Σεπτέμβριο του 2021, η πλατφόρμα αντιμετώπισε ένα σφάλμα που είχε ως αποτέλεσμα το διαγραφή των NFT αξίας 28.44 ETH ή 100,000 $. Ένα χρόνο αργότερα, τον Φεβρουάριο του 2022, το OpenSea έγινε στόχος ενός χάκερ που είχε κλέψει πολλά NFT υψηλής αξίας από τους χρήστες της πλατφόρμας. 

Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.