Η αγορά Nonfungible token (NFT) OpenSea φέρεται να επιδιορθώνει μια ευπάθεια που, εάν την εκμεταλλευτεί, θα μπορούσε να αποκαλύψει πληροφορίες αναγνώρισης για τους ανώνυμους χρήστες της.
Στις 9 Μαρτίου blog, η εταιρεία κυβερνοασφάλειας Imperva παρουσίασε λεπτομερώς τον τρόπο ανακάλυψε την ευπάθεια για το οποίο ισχυρίστηκε ότι θα μπορούσε να κατονομάσει τους χρήστες του OpenSea «συνδέοντας μια διεύθυνση IP, μια περίοδο λειτουργίας προγράμματος περιήγησης ή ένα email υπό ορισμένες συνθήκες» σε ένα NFT.
Καθώς το NFT αντιστοιχεί σε μια διεύθυνση πορτοφολιού κρυπτονομίσματος, η πραγματική ταυτότητα ενός χρήστη θα μπορούσε να αποκαλυφθεί από τις πληροφορίες που συλλέγονται και συνδέονται με το πορτοφόλι και τη δραστηριότητά του, εξήγησε η Imperva.
Η Imperva Red Team ανακάλυψε μια ευπάθεια αναζήτησης μεταξύ τοποθεσιών που επηρεάζει το # ΝΤΤ αγορά #Ανοιχτή θάλασσα.
Αυτή η ευπάθεια επιτρέπει την αποανωνυμοποίηση των χρηστών, αποκαλύπτοντας πιθανώς την ταυτότητα ενός χρήστη. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Μαρτίου 9, 2023
Η εκμετάλλευση θεωρείται ότι εκμεταλλεύτηκε μια ευπάθεια αναζήτησης μεταξύ τοποθεσιών. Η Imperva ισχυρίστηκε ότι το OpenSea είχε διαμορφώσει εσφαλμένα μια βιβλιοθήκη που αλλάζει το μέγεθος των στοιχείων ιστοσελίδας που φορτώνουν περιεχόμενο HTML από αλλού, τα οποία συνήθως χρησιμοποιούνται για την τοποθέτηση διαφημίσεων, διαδραστικού περιεχομένου ή ενσωματωμένων βίντεο.
Καθώς το OpenSea δεν περιόριζε τις επικοινωνίες αυτής της βιβλιοθήκης, οι εκμεταλλευτές θα μπορούσαν να χρησιμοποιήσουν τις πληροφορίες που εκπέμπει ως «μαντείο» για να περιορίσουν όταν οι αναζητήσεις δεν έδιναν αποτελέσματα, καθώς η ιστοσελίδα θα ήταν μικρότερη.
Η Imperva ανέφερε ότι ένας επιθετικός θα το έκανε στέλνουν στον στόχο τους έναν σύνδεσμο μέσω email ή SMS, το οποίο αν πατηθεί «αποκαλύπτει πολύτιμες πληροφορίες, όπως τη διεύθυνση IP του στόχου, τον παράγοντα χρήστη, τα στοιχεία της συσκευής και τις εκδόσεις λογισμικού».
Στη συνέχεια, ο εισβολέας θα χρησιμοποιούσε την ευπάθεια του OpenSea για να εξαγάγει τα ονόματα NFT του στόχου του και να συσχετίσει την αντίστοιχη διεύθυνση πορτοφολιού με πληροφορίες αναγνώρισης, όπως ένα email ή έναν αριθμό τηλεφώνου στον οποίο στάλθηκε ο αρχικός σύνδεσμος.
Η Imperva είπε ότι το OpenSea «αντιμετώπισε γρήγορα το ζήτημα» και περιόρισε σωστά τις επικοινωνίες της βιβλιοθήκης και ανέφερε ότι η πλατφόρμα «δεν κινδύνευε πλέον από τέτοιες επιθέσεις».
Συγγενεύων: Η ομάδα ασφαλείας δημιουργεί ταμπλό για να ανιχνεύσει πιθανές εισβολές NFT στο OpenSea
Οι χρήστες της πλατφόρμας έχουν πέσει εδώ και καιρό θύματα επιθέσεων που μιμούνται τις λειτουργίες του OpenSea για εκμεταλλεύσεις, όπως ιστότοπους ηλεκτρονικού ψαρέματος που μοιάζουν με την πλατφόρμα ή εμφανίζονται αιτήματα υπογραφής να προέρχεται από το OpenSea.
Το ίδιο το OpenSea έχει αντιμετωπίσει επικρίσεις για την ασφάλεια της πλατφόρμας του λόγω α μεγάλη επίθεση phishing τον Φεβρουάριο του 2022 που είχε ως αποτέλεσμα την κλοπή NFT αξίας άνω των 1.7 εκατομμυρίων δολαρίων από χρήστες.
Όσον αφορά την πρόσφατη ενημέρωση κώδικα, είναι άγνωστο πόσο καιρό υπήρχε ή εάν κάποιοι χρήστες είχαν επηρεαστεί από το exploit.
Η OpenSea δεν απάντησε αμέσως στο αίτημα της Cointelegraph για σχόλιο.
Πηγή: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities