Паведамляецца, што маркетплейс незаменных токенаў (NFT) OpenSea выправіў уразлівасць, якая ў выпадку выкарыстання можа раскрыць ідэнтыфікацыйную інфармацыю аб сваіх ананімных карыстальніках.
У 9 сакавіка блог, фірма па кібербяспецы Imperva падрабязна расказала, як гэта адбываецца выявіў уразлівасць які, як сцвярджалася, можа дэананімізаваць карыстальнікаў OpenSea, «звязваючы IP-адрас, сеанс браўзера або электронную пошту пры пэўных умовах» з NFT.
Паколькі NFT адпавядае адрасу кашалька з криптовалютой, сапраўдная асоба карыстальніка можа быць выяўлена з сабранай інфармацыі і звязана з кашальком і яго дзейнасцю, растлумачыў Imperva.
Каманда Imperva Red выявіла ўразлівасць міжсайтавага пошуку, якая ўплывае на #NFT кірмашовая плошча #Адкрытае мора.
Гэтая ўразлівасць дазваляе дэананімізаваць карыстальнікаў, патэнцыйна раскрываючы асобу карыстальніка. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Сакавік 9, 2023
Лічыцца, што эксплойт скарыстаўся ўразлівасцю міжсайтавага пошуку. Imperva сцвярджала, што OpenSea няправільна сканфігуравала бібліятэку, якая змяняе памеры элементаў вэб-старонкі, якія загружаюць змесціва HTML з іншых месцаў, якія звычайна выкарыстоўваюцца для размяшчэння рэкламы, інтэрактыўнага кантэнту або ўбудаваных відэа.
Паколькі OpenSea не абмяжоўваў камунікацыі гэтай бібліятэкі, эксплуататары маглі выкарыстоўваць інфармацыю, якую яна транслюе, як «аракул» для звужэння, калі пошук не дае вынікаў, бо вэб-старонка была б меншай.
Imperva падрабязна расказала, што зламыснік будзе адправіць іх мэтавай спасылкі праз электронную пошту або SMS, якія пры націсканні «выяўляюць каштоўную інфармацыю, такую як IP-адрас аб'екта, карыстальніцкі агент, дэталі прылады і версіі праграмнага забеспячэння».
Затым зламыснік выкарыстаў бы ўразлівасць OpenSea, каб атрымаць імёны NFT сваёй мэты і звязаць адпаведны адрас кашалька з ідэнтыфікацыйнай інфармацыяй, такой як электронная пошта або нумар тэлефона, на якія была адпраўлена першапачатковая спасылка.
Imperva сказаў, што OpenSea «хутка вырашыла праблему» і належным чынам абмежавала сувязь бібліятэкі і паведаміла, што платформа «больш не падвяргаецца рызыцы такіх нападаў».
Па тэме: Каманда бяспекі стварае прыборную панэль для выяўлення магчымых узломаў NFT у OpenSea
Карыстальнікі платформы ўжо даўно становяцца ахвярамі нападаў, якія імітуюць функцыі OpenSea для здзяйснення эксплойтаў, такіх як фішынгавыя сайты, якія нагадваюць платформу або з'яўляюцца запыты на подпісы паходзіць з OpenSea.
Сам OpenSea сутыкнуўся з крытыкай для бяспекі платформы дзякуючы a буйная фішынгавая атака у лютым 2022 года, што прывяло да крадзяжу ў карыстальнікаў NFT на суму больш за 1.7 мільёна долараў.
Што тычыцца нядаўняга патча, невядома, як доўга ён існаваў і ці пацярпеў ад эксплойта хто-небудзь з карыстальнікаў.
OpenSea не адразу адказала на запыт Cointelegraph аб каментарыі.
Крыніца: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities