Сообщается, что рынок невзаимозаменяемых токенов OpenSea исправила уязвимость, которая в случае ее использования могла привести к раскрытию идентифицирующей информации об анонимных пользователях.
В блоге от 9 марта компания по кибербезопасности Imperva подробно описала, как она обнаружила уязвимость, которая, по ее утверждению, может деанонимизировать пользователей OpenSea, «связав IP-адрес, сеанс браузера или электронную почту при определенных условиях» с NFT.
По словам Imperva, поскольку NFT соответствует адресу кошелька криптовалюты, реальная личность пользователя может быть раскрыта из информации, собранной и связанной с кошельком и его активностью.
Команда Imperva Red Team обнаружила уязвимость межсайтового поиска, затрагивающую торговую площадку #NFT #OpenSea.
Эта уязвимость позволяет деанонимизировать пользователей, потенциально раскрывая личность пользователя. https://t.co/nGQWceeGEc
— Имперва (@Imperva) 9 марта 2023 г.
Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила библиотеку, которая изменяет размеры элементов веб-страницы, которые загружают HTML-контент из других источников, которые обычно используются для размещения рекламы, интерактивного контента или встроенных видео.
Поскольку OpenSea не ограничивала связь этой библиотеки, эксплуататоры могли использовать информацию, которую она транслирует, в качестве «оракула», чтобы сузить круг поиска, когда поиск не дает результатов, поскольку веб-страница будет меньше.
Imperva уточнила, что злоумышленник отправляет своей цели ссылку по электронной почте или SMS, по которой при нажатии «раскрывается ценная информация, такая как IP-адрес цели, пользовательский агент, сведения об устройстве и версии программного обеспечения».
Скриншот главной страницы OpenSea. Источник: OpenSea
Затем злоумышленник воспользуется уязвимостью OpenSea, чтобы извлечь имена NFT своей цели и связать соответствующий адрес кошелька с идентифицирующей информацией, такой как электронная почта или номер телефона, которые были отправлены по исходной ссылке.
Imperva заявила, что OpenSea «быстро устранила проблему» и должным образом ограничила связь библиотеки, сообщив, что платформа «больше не подвергается риску таких атак».
Связанный: команда безопасности создает панель инструментов для обнаружения потенциальных взломов NFT в OpenSea
Пользователи платформы долгое время становились жертвами атак, которые имитируют функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, которые напоминают платформу, или запросы подписи, которые, как представляется, исходят от OpenSea.
Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинговой атаки в феврале 2022 года, в результате которой у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.
Что касается недавнего патча, неизвестно, как долго он существовал и затронул ли он кого-либо из пользователей.
OpenSea не сразу ответила на запрос о комментариях.
Источник: Сointеlеgrаph