Ang nonfungible token (NFT) marketplace na OpenSea ay iniulat na nag-patch ng isang kahinaan na, kung pagsasamantalahan, ay maaaring maglantad ng impormasyon sa pagkakakilanlan tungkol sa mga hindi kilalang user nito.
Sa isang Mar. 9 Blog, idinetalye ng cybersecurity firm na Imperva kung paano ito natuklasan ang kahinaan na inaangkin nitong maaaring i-deanonymize ang mga user ng OpenSea “sa pamamagitan ng pag-link ng IP address, session ng browser, o email sa ilang partikular na kundisyon” sa isang NFT.
Dahil ang NFT ay tumutugma sa isang cryptocurrency wallet address, ang tunay na pagkakakilanlan ng isang user ay maaaring ibunyag mula sa impormasyong nakalap at naka-link sa wallet at sa aktibidad nito, paliwanag ni Imperva.
Natuklasan ng Imperva Red Team ang isang cross-site na kahinaan sa paghahanap na nakakaapekto sa # NFT palengke #OpenSea.
Nagbibigay-daan ang kahinaang ito para sa deanonymization ng mga user, na posibleng magbunyag ng pagkakakilanlan ng isang user. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Marso 9, 2023
Ang pagsasamantala ay nauunawaan na sinamantala ang isang kahinaan sa paghahanap sa cross-site. Sinabi ni Imperva na na-misconfigure ng OpenSea ang isang library na nagre-resize ng mga elemento ng webpage na naglo-load ng HTML na content mula sa ibang lugar na karaniwang ginagamit para maglagay ng mga ad, interactive na content, o mga naka-embed na video.
Dahil hindi pinaghigpitan ng OpenSea ang mga komunikasyon ng library na ito, maaaring gamitin ng mga mapagsamantala ang impormasyong ibino-broadcast nito bilang isang "oracle" upang paliitin kapag walang ibinalik na resulta ang mga paghahanap dahil magiging mas maliit ang webpage.
Idinetalye ni Imperva na gagawin ng isang umaatake magpadala ng link sa kanilang target sa pamamagitan ng email o SMS na kung na-click ay “nagpapakita ng mahalagang impormasyon, gaya ng IP address ng target, user agent, mga detalye ng device, at mga bersyon ng software.”
Pagkatapos ay gagamitin ng umaatake ang kahinaan ng OpenSea upang kunin ang mga pangalan ng NFT ng kanilang target at iugnay ang kaukulang address ng wallet sa pagtukoy ng impormasyon tulad ng email o numero ng telepono na ipinadala sa orihinal na link.
Sinabi ni Imperva na "mabilis na tinugunan ng OpenSea ang isyu" at maayos na pinaghigpitan ang mga komunikasyon ng library at iniulat na ang platform ay "hindi na nanganganib sa gayong mga pag-atake."
Ang mga gumagamit ng platform ay matagal nang biktima ng mga pag-atake na ginagaya ang mga function ng OpenSea upang magsagawa ng mga pagsasamantala, tulad ng mga website ng phishing na kahawig ng platform o lumilitaw ang mga kahilingan sa lagda na magmula sa OpenSea.
OpenSea mismo ay nahaharap sa batikos para sa seguridad ng platform nito dahil sa a pangunahing pag-atake sa phishing noong Pebrero 2022 na nagresulta sa mahigit $1.7 milyong halaga ng mga NFT na nanakaw mula sa mga user.
Para sa kamakailang patch, hindi alam kung gaano ito katagal o kung may mga user na naapektuhan ng pagsasamantala.
Hindi kaagad tumugon ang OpenSea sa kahilingan para sa komento ni Cointelegraph.
Pinagmulan: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities