Mga Patch ng OpenSea na Potensyal na Malubhang Paghihina

Ang NFT marketplace OpenSea kamakailan ay tumugon sa isang kahinaan sa kanilang code na maaaring pagsamantalahan upang ma-leak ang data ng user. 

Nakikita ng Imperva ang kahinaan sa OpenSea

Noong Marso 9, itinuro ng cybersecurity firm na Imperva ang isang kahinaan sa OpenSea platform. Ang firm ay nag-publish ng isang post sa blog na nagdedetalye ng mga natuklasan nito at inaangkin na ang kahinaan ay nagdulot ng malubhang banta sa seguridad sa data ng user. Maaaring samantalahin ng mga nakakahamak na aktor ang bug upang tumuklas ng personal na impormasyon tungkol sa mga user, tulad ng kanilang mga numero ng telepono at email ID. 

Ang koponan ay nag-tweet, 

"Natuklasan ng Imperva Red Team ang isang kahinaan sa paghahanap sa cross-site na nakakaapekto sa NFT marketplace na OpenSea."

Nagbibigay-daan ang kahinaang ito para sa deanonymization ng mga user, na posibleng magbunyag ng pagkakakilanlan ng isang user.

Ayon sa ulat, ang hindi kilalang mga gumagamit ng OpenSea ay maaaring ibunyag sa pamamagitan ng pagmamanipula sa bug na ito at pag-link ng isang IP address, isang session ng browser, o kahit isang email sa isang NFT. Bilang resulta, ang mga hindi kilalang mamimili ay maaaring magkaroon ng panganib na malantad ang kanilang pagkakakilanlan kung ang kaukulang address ng crypto wallet ay ibinunyag kaugnay ng impormasyong nakalap mula sa nagpapakilalang address. 

Root-Cause – Maling configuration ng Library

Ang ulat ay higit pang pinag-aaralan ang ugat ng bagay, na tinutukoy ang maling pagsasaayos ng iFrame-resizer library na ginagamit ng Platform ng NFT, na naging sanhi ng kahinaan sa paghahanap sa cross-site. Nangangahulugan ito na mali ang pagkaka-configure ng platform sa isang library na nagre-resize ng mga elemento ng webpage na naglo-load ng HTML na content mula sa ibang lugar. 

Ginagamit ang feature na ito para maglagay ng mga ad, interactive na content, o mga naka-embed na video. Dahil hindi pinaghigpitan ng OpenSea platform ang mga komunikasyon ng library na ito, magiging madali para sa mga hacker at iba pang malisyosong aktor na manipulahin ang na-broadcast na impormasyon at gamitin ito bilang isang "oracle" upang matukoy ang mga target. 

Maaari nilang ipadala ang target ng link sa pamamagitan ng email o SMS. Kung mag-click ang target sa link, ang kanilang personal na impormasyon, kasama ang kanilang IP address, user agent, mga detalye ng device, at mga bersyon ng software, ay ipapakita. Ang email address at numero ng telepono ay maaaring kumilos bilang mga nagpapakilalang merkado upang payagan ang umaatake na ma-access ang mga pangalan ng mga NFT na konektado sa target at ang kanilang kaukulang wallet address. 

Mga Alalahanin sa Seguridad ng OpenSea

Iniulat na ang koponan ng OpenSea ay natugunan ang isyu sa pamamagitan ng mabilis na pagpapalabas ng isang patch upang ayusin ang kahinaan. Kinumpirma ng koponan ng Imperva na pinaghihigpitan ng patch na ito ang cross-origin na komunikasyon at pipigilan ang pagsasamantala sa hinaharap, kaya matagumpay na natutugunan ang banta. 

Gayunpaman, hindi ito ang unang banta sa seguridad na kinakaharap ng OpenSea. Noong Setyembre 2021, nakaranas ang platform ng bug na nagresulta sa pagtanggal ng mga NFT nagkakahalaga ng 28.44 ETH o $100,000. Ipasa sa isang taon mamaya, noong Pebrero 2022, ang OpenSea ay na-target ng isang hacker na nagnakaw ng ilang mga NFT na may mataas na halaga mula sa mga gumagamit ng platform. 

Pagwawaksi: Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pampinansyal, o iba pang payo.