- Пры паспяховым выкарыстанні шчыліна ў OpenSea магла дазволіць зламысніку атрымаць ідэнтыфікацыйныя дадзеныя карыстальнікаў.
- OpenSea хутка выправіла праблему пасля таго, як уразлівасць выйшла на першы план.
Кампанія кібербяспекі Imperva выяўлена сур'ёзная ўразлівасць на папулярным рынку NFT Адкрытае мора, які пры паспяховым выкарыстанні можа дазволіць зламысніку атрымаць ідэнтыфікацыйныя дадзеныя карыстальнікаў платформы.
Па словах Imperva, асноўнай прычынай уразлівасці была няправільная канфігурацыя бібліятэкі iFrame-resizer, якая выкарыстоўваецца OpenSea.
Даючы больш падрабязную інфармацыю аб механізме выкарыстання праблемы, Imperva заявіла, што зламыснік адправіць спасылку па электроннай пошце або SMS.
Калі ахвяра пстрыкне па спасылцы, будзе атрымана важная інфармацыя, такая як IP-адрас мэты, карыстальніцкі агент, дэталі прылады і версіі праграмнага забеспячэння.
Затым уразлівасць міжсайтавага пошуку будзе выкарыстоўвацца, каб атрымаць імёны мэтавых NFT, а зламыснік звязвае ўцечку адраса NFT/публічнага кашалька з адрасам электроннай пошты ці нумарам тэлефона, на які першапачаткова была адпраўлена спасылка.
Тым не менш, у справаздачы Imperva згадваецца, што OpenSea выправіла праблему пасля паведамлення, і рынак больш не схільны рызыцы такіх нападаў
Заплямленае мінулае
Раней OpenSea сутыкалася з сур'ёзнымі праблемамі з нагоды бяспекі платформы. У лютым 2022 года ён апынуўся ў цэнтры аднаго з найбуйнейшых узломаў у экасістэме NFT.
Падчас эксплойту з кашалькоў карыстальнікаў былі скрадзены NFT на 1.7 мільёна долараў. Парушэнне прызнаў генеральны дырэктар OpenSea Дэвін Фінзер.
Яшчэ адно абнаўленне: за апошнія некалькі гадзін мы размаўлялі з дзесяткамі людзей, каманд і праектаў па ўсёй прасторы NFT. https://t.co/fB5r3cMA1r
- Дэвін Фінцэр (dfinzer.eth) (@dfinzer) Люты 20, 2022
Менш чым праз тры месяцы рынак зноў пацярпеў канал Discord быў узламаны. Хакеры размясцілі фальшывую навіну аб супрацоўніцтве на YouTube са спасылкай на фішынг-сайт.
Уплыў узломаў прымусіў OpenSea прыняць некаторыя канкрэтныя меры для абароны сваіх карыстальнікаў. У мінулым месяцы ён прадставіў a льготны перыяд тры гадзіны, на працягу якіх прадаўцы не змогуць прымаць прапановы пасля меркаванага продажу.
Гандлёвая актыўнасць падае
Між тым, з сярэдзіны лютага ў OpenSea назіраецца значнае падзенне гандлёвай актыўнасці на платформе. Штотыднёвы гандаль NFT упаў на 40% да моманту публікацыі, згодна з дадзенымі Token Terminal.
У выніку гэтага ганарары, якія выплачваюцца стваральнікам, таксама знізіліся. Штотыднёвая плата з боку прапановы ўпала на 40% на момант напісання артыкула, што магло адгаварыць зацікаўленых стваральнікаў ад размяшчэння іх работ на рынку.
Крыніца: Token Terminal
OpenSea моцна пацярпеў з-за Размыццё [BLUR] шторм, які ахапіў экасістэму рынку NFT. Па дадзеных Dune Analytics, доля OpenSea ў агульным аб'ёме таргоў на ўсіх рынках скарацілася да 26%.
Тым не менш, яму ўсё яшчэ ўдалося ўтрымаць значную частку базы карыстальнікаў і агульнай колькасці продажаў з перавагай у 62.8% і 51% адпаведна.
Крыніца: Dune Analytics
Крыніца: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/