- Дупката на OpenSea кога беше успешно искористена можеше да му овозможи на напаѓачот да ги добие идентитетите на корисниците.
- OpenSea брзо го реши проблемот откако ранливоста дојде до израз.
Компанија за сајбер безбедност Imperva открија голема ранливост на популарниот NFT пазар ОпенСеа, што кога успешно се експлоатира, може да му овозможи на напаѓачот да ги добие идентитетите на корисниците на платформата.
Според Imperva, погрешната конфигурација на библиотеката за промена на големината на iFrame што ја користи OpenSea била главната причина за ранливоста.
Обезбедувајќи повеќе детали за механизмот за експлоатација за проблемот, Imperva изјави дека напаѓачот ќе испрати врска преку е-пошта или СМС.
Ако жртвата кликне на врската, ќе се преземат витални информации како што се IP адресата на целта, корисничкиот агент, деталите за уредот и верзии на софтверот.
Потоа ќе се искористи ранливоста за пребарување меѓу страници за да се добијат имињата на NFT на целта, а напаѓачот потоа ќе ја поврзе протечената адреса на NFT/јавен паричник со е-поштата или телефонскиот број каде што првично била испратена врската.
Сепак, во извештајот на Imperva се споменува дека OpenSea го реши проблемот откако беше пријавен и пазарот повеќе не беше изложен на ризик од такви напади
Извалкано минато
OpenSea се соочуваше со сериозна загриженост за безбедноста на платформата во минатото. Во февруари 2022 година, беше во центарот на еден од најголемите хакери во екосистемот NFT.
За време на експлоатацијата, од паричниците на корисниците беа украдени NFT во вредност од 1.7 милиони долари. Прекршувањето го призна извршниот директор на OpenSea Девин Финзер.
Уште едно ажурирање: во последните неколку часа разговаравме со десетици луѓе, тимови и проекти низ NFT просторот. https://t.co/fB5r3cMA1r
- Девин Финцер (dfinzer.eth) (@dfinzer) Февруари 20, 2022
За помалку од три месеци, пазарот повторно беше погоден кога беше Каналот за несогласување беше компромитиран. Хакерите објавија лажна вест за соработка на Јутјуб, која вклучуваше линк до сајт за фишинг.
Влијанието на хакерите го натера OpenSea да преземе конкретни чекори за да ги заштити своите корисници. Минатиот месец воведе а грејс период од три часа во кои продавачите ќе бидат спречени да прифатат понуди по наводна продажба.
Трговската активност опаѓа
Во меѓувреме, OpenSea забележа значително намалување на трговската активност на платформата од средината на февруари. Неделното NFT тргување падна за 40% до прес-времето, според податоците од Token Terminal.
Како последица на ова, се намалија и хонорарите што им се исплаќаа на креаторите. Неделните надоместоци од страната на понудата паднаа за 40% во моментот на пишувањето, што може да ги одврати заинтересираните создавачи да ги наведат своите дела на пазарот.
Извор: Токен терминал
OpenSea беше тешко погоден поради Заматување [BLUR] бура што го зафати екосистемот на пазарот NFT. Според податоците на Dune Analytics, учеството на OpenSea во вкупниот обем на тргување на сите пазари е намалено на 26%.
Сепак, сепак успеа да задржи значителен дел од корисничката база и вкупниот број на продажби, со доминација од 62.8% и 51%, соодветно.
Извор: Дина аналитика
Извор: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/