OpenSea закрпи потенцијално сериозна ранливост

Пазарот NFT OpenSea неодамна се осврна на ранливоста во нивниот код што може да се искористи за протекување на кориснички податоци. 

Imperva открива ранливост на OpenSea

На 9 март, фирмата за сајбер безбедност Imperva укажа на ранливост во ОпенСеа платформа. Фирмата објави блог пост со детали за своите наоди и тврди дека ранливоста претставува сериозни безбедносни закани за податоците на корисниците. Злонамерните актери би можеле да ја искористат грешката за да откријат лични информации за корисниците, како што се нивните телефонски броеви и идентификатори на е-пошта. 

Тимот твитна, 

„Тимот на Imperva Red откри ранливост за пребарување меѓу страници што влијае на пазарот NFT OpenSea“.

Оваа ранливост овозможува деанонимизација на корисниците, потенцијално откривајќи го идентитетот на корисникот.

Според извештајот, анонимните корисници на OpenSea би можеле да бидат откриени со манипулирање со оваа грешка и поврзување на IP адреса, сесија на прелистувач или дури и е-пошта до NFT. Како резултат на тоа, анонимните купувачи може да ризикуваат да се открие нивниот идентитет доколку се открие соодветната крипто-паричник адреса во врска со информациите собрани од адресата за идентификација. 

Root-Cause – Погрешна конфигурација на библиотеката

Извештајот дополнително ја анализира основната причина за проблемот, идентификувајќи ја погрешната конфигурација на библиотеката iFrame-resizer што ја користи NFT платформа, што ја предизвика ранливоста за пребарување меѓу страници. Ова значи дека платформата погрешно ја конфигурирала библиотеката што ја менува големината на елементите на веб-страницата што вчитува HTML содржина од друго место. 

Оваа функција се користи за поставување реклами, интерактивни содржини или вградени видеа. Бидејќи платформата OpenSea не ги ограничи комуникациите на оваа библиотека, на хакерите и другите злонамерни актери ќе им биде лесно да манипулираат со емитуваните информации и да ги користат како „пророк“ за прецизно одредување цели. 

Тие потоа би можеле да испратат врска на целта преку е-пошта или СМС. Ако целта кликне на врската, ќе бидат откриени нивните лични податоци, вклучувајќи ја нивната IP адреса, кориснички агент, детали за уредот и верзии на софтвер. Адресата на е-пошта и телефонскиот број можеле да дејствуваат како пазари за идентификација за да му овозможат на напаѓачот пристап до имињата на NFT поврзани со целта и нивната соодветна адреса на паричникот. 

Безбедносните грижи на OpenSea

Наводно, тимот на OpenSea го реши проблемот со брзо ослободување на закрпа за да се поправи ранливоста. Тимот на Imperva потврди дека овој лепенка ја ограничува комуникацијата со вкрстено потекло и ќе спречи идна експлоатација, со што успешно ќе се справи со заканата. 

Сепак, ова не е прва безбедносна закана со која се соочува OpenSea. Во септември 2021 година, платформата доживеа грешка што резултираше со бришење на NFT во вредност од 28.44 ЕТХ или 100,000 долари. Една година подоцна, во февруари 2022 година, OpenSea беше цел на хакер кој украл неколку NFT со висока вредност од корисниците на платформата. 

Одрекување: Овој напис е даден само за информативни цели. Не е понуден или наменет да се користи како правен, даночен, инвестициски, финансиски или друг совет.