- Ang butas sa OpenSea kapag matagumpay na pinagsamantalahan ay maaaring nagbigay-daan sa umaatake na makuha ang mga pagkakakilanlan ng mga gumagamit.
- Mabilis na inayos ng OpenSea ang isyu pagkatapos na mauna ang kahinaan.
Kumpanya ng cyber security Imperva nakakita ng malaking kahinaan sa sikat na NFT marketplace OpenSea, na kapag matagumpay na pinagsamantalahan, maaaring payagan ang umaatake na makuha ang mga pagkakakilanlan ng mga user sa platform.
Ayon kay Imperva, ang maling pagsasaayos ng library ng iFrame-resizer na ginamit ng OpenSea ang pangunahing dahilan sa likod ng kahinaan.
Sa pagbibigay ng higit pang mga detalye tungkol sa mekanismo ng pagsasamantala para sa isyu, sinabi ni Imperva na magpapadala ang umaatake ng link sa pamamagitan ng email o SMS.
Kung mag-click ang biktima sa link, ang mahahalagang impormasyon gaya ng IP address ng target, user agent, mga detalye ng device, at mga bersyon ng software ay makukuha.
Ang kahinaan sa paghahanap sa cross-site ay sasamantalahin upang makuha ang mga pangalan ng NFT ng target at pagkatapos ay iuugnay ng umaatake ang na-leak na NFT/pampublikong wallet address sa email o numero ng telepono kung saan unang ipinadala ang link.
Gayunpaman, binanggit ng ulat ni Imperva na inayos ng OpenSea ang isyu pagkatapos itong maiulat at ang marketplace ay hindi na nanganganib sa mga naturang pag-atake
Nadungisan na Nakaraan
Ang OpenSea ay nahaharap sa mga seryosong alalahanin sa seguridad ng platform sa nakaraan. Noong Pebrero 2022, ito ay nasa gitna ng isa sa mga pinakamalaking hack sa NFT ecosystem.
Sa panahon ng pagsasamantala, $1.7 milyong halaga ng mga NFT ang ninakaw mula sa mga wallet ng mga gumagamit. Ang paglabag ay kinilala ng OpenSea CEO Devin Finzer.
Isa pang update: sa nakalipas na ilang oras nakipag-usap kami sa dose-dosenang tao, team, at proyekto sa buong NFT space. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Pebrero 20, 2022
Wala pang tatlong buwan, muling tinamaan ang palengke noong nakompromiso ang discord channel. Nag-post ang mga hacker ng pekeng balita sa pakikipagtulungan sa YouTube na may kasamang link sa isang phishing site.
Ang epekto ng mga hack na ginawa ng OpenSea ay gumawa ng ilang mga kongkretong hakbang upang pangalagaan ang mga gumagamit nito. Noong nakaraang buwan, ipinakilala nito ang isang panahon ng biyaya ng tatlong oras kung saan ang mga nagbebenta ay mapipigilan sa pagtanggap ng mga alok pagkatapos ng isang dapat na pagbebenta.
Bumababa ang aktibidad ng kalakalan
Samantala, nakita ng OpenSea ang makabuluhang pagbaba sa aktibidad ng pangangalakal sa platform mula noong kalagitnaan ng Pebrero. Ang lingguhang NFT trading ay bumagsak ng 40% hanggang sa oras ng press, ayon sa data mula sa Token Terminal.
Bilang resulta nito, tinanggihan din ang mga royalty na ibinayad sa mga creator. Ang lingguhang mga bayarin sa panig ng supply ay bumagsak ng 40% sa oras ng pagsulat, na maaaring pigilan ang mga interesadong creator na ilista ang kanilang trabaho sa marketplace.
Pinagmulan: Token Terminal
Ang OpenSea ay tinamaan nang husto dahil sa Palabuin [BLUR] bagyo na tumangay sa ecosystem ng NFT marketplace. Ayon sa data mula sa Dune Analytics, ang bahagi ng OpenSea sa kabuuang dami ng kalakalan sa lahat ng marketplace ay nabawasan sa 26%.
Gayunpaman, nagawa pa rin nitong hawakan ang isang makabuluhang bahagi ng base ng gumagamit at ang kabuuang bilang ng mga benta, na may dominanteng 62.8% at 51% ayon sa pagkakabanggit.
Pinagmulan: Dune Analytics
Pinagmulan: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/