Сообщается, что на рынке невзаимозаменяемых токенов (NFT) OpenSea исправила уязвимость, которая в случае использования может раскрыть идентифицирующую информацию об анонимных пользователях.
В блоге от 9 марта фирма по кибербезопасности Imperva подробно рассказала, как она обнаружила уязвимость, которая, по ее утверждению, может деанонимизировать пользователей OpenSea, «связывая IP-адрес, сеанс браузера или электронную почту при определенных условиях» с NFT.
Поскольку NFT соответствует адресу кошелька криптовалюты, реальная личность пользователя может быть раскрыта из собранной информации, связанной с кошельком и его активностью, пояснила Имперва.
Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила Library, которая изменяет размеры элементов веб-страницы, которые загружают HTML-контент из других источников, которые обычно используются для размещения рекламы, интерактивного контента или встроенных видео.
Поскольку OpenSea не ограничивала коммуникации этой Library, эксплуататоры могли использовать информацию, которую она транслирует, в качестве «оракула», чтобы сузить круг поиска, когда поиск не дает результатов, поскольку веб-страница будет меньше.
Imperva уточнила, что злоумышленник отправляет своей цели ссылку по электронной почте или SMS, которая при нажатии «открывает ценную информацию, такую как IP-адрес цели, пользовательский агент, сведения об устройстве и версии программного обеспечения».
Затем злоумышленник воспользуется уязвимостью OpenSea, чтобы извлечь имена NFT своей цели и связать соответствующий адрес кошелька с идентифицирующей информацией, такой как электронная почта или номер телефона, которые были отправлены по исходной ссылке.
Imperva заявила, что OpenSea «быстро устранила проблему» и должным образом ограничила связь Library, а также сообщила, что платформа «больше не подвергается риску таких атак».
Связанный: Команда безопасности создает Dashboard для обнаружения потенциальных взломов NFT в OpenSea
Пользователи платформы долгое время становились жертвами атак, которые имитируют функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, которые напоминают платформу, или запросы подписи, которые, как представляется, исходят от OpenSea.
Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинговой атаки в феврале 2022 года, в результате которой у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.
Что касается недавнего патча, неизвестно, как долго он существовал и затронул ли он кого-либо из пользователей.
OpenSea не сразу ответила на запрос Cointelegraph о комментариях.