Nonfungible token (NFT) markedsplads OpenSea har angiveligt rettet en sårbarhed, der, hvis den udnyttes, kan afsløre identificerende oplysninger om dets anonyme brugere.
I en 9. Mar blog, cybersikkerhedsfirmaet Imperva detaljerede hvordan det opdagede sårbarheden som den hævdede kunne deanonymisere OpenSea-brugere "ved at linke en IP-adresse, en browsersession eller en e-mail under visse betingelser" til en NFT.
Da NFT svarer til en cryptocurrency wallet-adresse, kan en brugers rigtige identitet afsløres ud fra den indsamlede information og knyttet til tegnebogen og dens aktivitet, forklarede Imperva.
Imperva Red Team opdagede en søgningssårbarhed på tværs af websteder, der påvirker #NFT markedsplads #OpenSea.
Denne sårbarhed giver mulighed for deanonymisering af brugere, hvilket potentielt afslører en brugers identitet. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Marts 9, 2023
Udnyttelsen forstås at have udnyttet en sårbarhed ved søgning på tværs af websteder. Imperva hævdede, at OpenSea havde fejlkonfigureret et bibliotek, der ændrer størrelsen på websideelementer, der indlæser HTML-indhold fra andre steder, som typisk bruges til at placere annoncer, interaktivt indhold eller indlejrede videoer.
Da OpenSea ikke begrænsede dette biblioteks kommunikation, kunne udnyttere bruge den information, det udsender som et "orakel" til at indsnævre, når søgninger ikke giver resultater, da websiden ville være mindre.
Imperva detaljerede, at en angriber ville sende deres mål et link via e-mail eller SMS, som, hvis der klikkes på "afslører værdifuld information, såsom målets IP-adresse, brugeragent, enhedsdetaljer og softwareversioner."
Angriberen ville derefter bruge OpenSeas sårbarhed til at udtrække NFT-navnene på deres mål og knytte den tilsvarende tegnebogsadresse til identificerende oplysninger såsom en e-mail eller et telefonnummer, som blev sendt til det originale link.
Imperva sagde, at OpenSea "hurtigt løste problemet" og korrekt begrænsede bibliotekets kommunikation og rapporterede, at platformen "ikke længere var i fare for sådanne angreb."
Relateret: Sikkerhedsteamet opretter dashboard for at opdage potentielle NFT-hack i OpenSea
Brugere af platformen har længe været ofre for angreb, der efterligner OpenSeas funktioner til at udføre udnyttelser, såsom phishing-websteder, der ligner platformen eller signaturanmodninger vises at stamme fra OpenSea.
OpenSea selv har mødt kritik for sin platformsikkerhed på grund af en større phishing-angreb i februar 2022, hvilket resulterede i, at over $1.7 millioner NFT'er blev stjålet fra brugere.
Hvad angår den seneste patch, er det ukendt, hvor længe den eksisterede, eller om nogen brugere var blevet påvirket af udnyttelsen.
OpenSea reagerede ikke umiddelbart på Cointelegraphs anmodning om kommentar.
Kilde: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities