💬 OpenSea исправляет уязвимость, которая потенциально раскрывала личность пользователей от 2023-03-13

OpenSea исправляет уязвимость, которая потенциально раскрывала личность пользователей

Сообщается, что на рынке невзаимозаменяемых токенов (NFT) OpenSea исправила уязвимость, которая в случае использования может раскрыть идентифицирующую информацию об анонимных пользователях.

В блоге от 9 марта фирма по кибербезопасности Imperva подробно рассказала, как она обнаружила уязвимость, которая, по ее утверждению, может деанонимизировать пользователей OpenSea, «связывая IP-адрес, сеанс браузера или электронную почту при определенных условиях» с NFT.

Поскольку NFT соответствует адресу кошелька криптовалюты, реальная личность пользователя может быть раскрыта на основе собранной информации, связанной с кошельком и его активностью, пояснила Имперва.

Команда Imperva Red Team обнаружила уязвимость межсайтового поиска, затрагивающую торговую площадку #NFT #OpenSea. Эта уязвимость позволяет деанонимизировать пользователей, потенциально раскрывая личность пользователя. https://t.co/nGQWceeGEc — Имперва (@Imperva) 9 марта 2023 г.

Команда Imperva Red Team обнаружила уязвимость межсайтового поиска, затрагивающую торговую площадку #NFT #OpenSea. Эта уязвимость позволяет деанонимизировать пользователей, потенциально раскрывая личность пользователя. https://t.co/nGQWceeGEc

Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила библиотеку, которая изменяет размеры элементов веб-страницы, которые загружают HTML-контент из других источников, которые обычно используются для размещения рекламы, интерактивного контента или встроенных видео.

Поскольку OpenSea не ограничивала связь этой библиотеки, злоумышленники могли использовать информацию, которую она транслирует, в качестве «оракула», чтобы сузить круг вопросов, когда поиск не дает результатов, поскольку веб-страница будет меньше.

Imperva уточнила, что злоумышленник отправляет своей цели ссылку по электронной почте или SMS, по которой при нажатии «раскрывается ценная информация, такая как IP-адрес цели, пользовательский агент, сведения об устройстве и версии программного обеспечения».

Затем злоумышленник воспользуется уязвимостью OpenSea, чтобы извлечь имена NFT своей цели и связать соответствующий адрес кошелька с идентифицирующей информацией, такой как адрес электронной почты или номер телефона, которые были отправлены по исходной ссылке.

Imperva заявила, что OpenSea «быстро устранила проблему» и должным образом ограничила связь библиотеки, а также сообщила, что платформа «больше не подвергается риску таких атак».

Пользователи платформы уже давно становятся жертвами атак, которые имитируют функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, которые напоминают платформу, или запросы подписи, которые, как представляется, исходят от OpenSea.

Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинговой атаки в феврале 2022 года, в результате которой у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.

Что касается недавнего патча, неизвестно, как долго он существовал и затронул ли он кого-либо из пользователей.

OpenSea не сразу ответила на запрос Cointelegraph о комментариях.