OpenSea выпраўляе патэнцыйна сур'ёзную ўразлівасць

Рынак NFT OpenSea нядаўна ліквідаваў уразлівасць у сваім кодзе, якую можна было выкарыстоўваць для ўцечкі карыстальніцкіх даных. 

Imperva выяўляе ўразлівасць OpenSea

9 сакавіка кампанія па кібербяспецы Imperva паказала на ўразлівасць у Адкрытае мора платформа. Фірма апублікавала паведамленне ў блогу з падрабязным апісаннем сваіх высноў і сцвярджала, што ўразлівасць уяўляе сур'ёзную пагрозу бяспецы дадзеных карыстальнікаў. Зламыснікі могуць выкарыстаць памылку, каб раскрыць асабістую інфармацыю аб карыстальніках, напрыклад, іх нумары тэлефонаў і ідэнтыфікатары электроннай пошты. 

Каманда напісала ў твітэры, 

«Каманда Imperva Red выявіла ўразлівасць міжсайтавага пошуку, якая ўплывае на рынак NFT OpenSea».

Гэтая ўразлівасць дазваляе дэананімізаваць карыстальнікаў, патэнцыйна раскрываючы асобу карыстальніка.

Згодна са справаздачай, ананімныя карыстальнікі OpenSea могуць быць прадстаўлены шляхам маніпулявання гэтай памылкай і прывязкі IP-адраса, сеанса браўзера або нават электроннай пошты да NFT. У выніку ананімныя пакупнікі могуць рызыкаваць выкрыццём сваёй асобы, калі адпаведны адрас крыптавага кашалька будзе раскрыты ў сувязі з інфармацыяй, сабранай з ідэнтыфікацыйнага адраса. 

Асноўная прычына - няправільная канфігурацыя бібліятэкі

Справаздача далей аналізуе асноўную прычыну праблемы, вызначаючы няправільную канфігурацыю бібліятэкі iFrame-resizer, якая выкарыстоўваецца Платформа NFT, што выклікала ўразлівасць міжсайтавага пошуку. Гэта азначае, што платформа няправільна сканфігуравала бібліятэку, якая змяняе памеры элементаў вэб-старонкі, загружаючы змесціва HTML з іншага месца. 

Гэта функцыя выкарыстоўваецца для размяшчэння рэкламы, інтэрактыўнага кантэнту або ўбудаваных відэа. Паколькі платформа OpenSea не абмяжоўвала сувязь гэтай бібліятэкі, хакерам і іншым зламыснікам было б лёгка маніпуляваць інфармацыяй, якая трансліравалася, і выкарыстоўваць яе ў якасці «аракула» для дакладнага вызначэння мэтаў. 

Затым яны маглі адправіць мэтавай спасылкі па электроннай пошце або SMS. Калі мэта пстрыкне па спасылцы, іх асабістая інфармацыя, у тым ліку IP-адрас, карыстальніцкі агент, дэталі прылады і версіі праграмнага забеспячэння, будзе раскрыта. Адрас электроннай пошты і нумар тэлефона маглі выступаць у якасці ідэнтыфікацыйных рынкаў, каб дазволіць зламысніку атрымаць доступ да імёнаў NFT, падлучаных да мэты, і іх адпаведнага адраса кашалька. 

Праблемы бяспекі OpenSea

Паведамляецца, што каманда OpenSea вырашыла гэтую праблему, хутка выпусціўшы патч для ліквідацыі ўразлівасці. Каманда Imperva пацвердзіла, што гэты патч абмяжоўвае ўзаемасувязь паміж крыніцамі і прадухіляе выкарыстанне ў будучыні, такім чынам, паспяхова ліквідуючы пагрозу. 

Аднак гэта не першая пагроза бяспецы, з якой сутыкаецца OpenSea. У верасні 2021 года на платформе ўзнікла памылка, якая прывяла да выдаленне NFT каштуе 28.44 ETH або 100,000 2022 долараў. Праз год, у лютым XNUMX года, OpenSea стаў мішэнню хакера, які скраў некалькі высокакаштоўныя NFT ад карыстальнікаў платформы. 

Адмова: Гэты артыкул прадастаўлены толькі ў інфармацыйных мэтах. Ён не прапануецца і не прызначаны для выкарыстання ў якасці юрыдычнай, падатковай, інвестыцыйнай, фінансавай ці іншай кансультацыі.