OpenSea آسیب پذیری هایی را اصلاح می کند که به طور بالقوه هویت کاربران را افشا می کند

بازار توکن غیرقابل تغییر (NFT) OpenSea گزارش شده است که آسیب‌پذیری را اصلاح کرده است که در صورت سوءاستفاده، می‌تواند اطلاعات شناسایی کاربران ناشناس خود را فاش کند.

در 9 مارس وبلاگ، شرکت امنیت سایبری Imperva چگونگی آن را توضیح داد آسیب پذیری را کشف کرد که ادعا می‌کند می‌تواند کاربران OpenSea را «با پیوند دادن یک آدرس IP، یک جلسه مرورگر یا یک ایمیل در شرایط خاص» به یک NFT بی‌نام کند.

Imperva توضیح داد که از آنجایی که NFT با آدرس کیف پول رمزنگاری مطابقت دارد، هویت واقعی کاربر را می توان از اطلاعات جمع آوری شده و مرتبط با کیف پول و فعالیت آن آشکار کرد.

تیم Imperva Red یک آسیب پذیری جستجوی بین سایتی را کشف کرد که بر روی آن تأثیر می گذارد #NFT بازار #دریای آزاد.

این آسیب‌پذیری امکان عدم نامگذاری کاربران را فراهم می‌کند و به طور بالقوه هویت کاربر را آشکار می‌کند. https://t.co/nGQWceeGEc

— Imperva (@Imperva) 9 مارس 2023

به نظر می رسد که این اکسپلویت از یک آسیب پذیری جستجوی بین سایتی استفاده کرده است. Imperva ادعا کرد که OpenSea کتابخانه ای را که اندازه عناصر صفحه وب را که محتوای HTML را از جاهای دیگر بارگیری می کند که معمولاً برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود، تغییر اندازه داده است.

از آنجایی که OpenSea ارتباطات این کتابخانه را محدود نکرده است، بهره‌برداران می‌توانند از اطلاعاتی که این کتابخانه پخش می‌کند به‌عنوان یک «اوراکل» استفاده کنند تا زمانی که جستجوها هیچ نتیجه‌ای نداشتند، زیرا صفحه وب کوچک‌تر می‌شود.

ایمپروا توضیح داد که یک مهاجم این کار را می کند یک لینک به هدف خود بفرستند از طریق ایمیل یا پیامک که در صورت کلیک کردن، اطلاعات ارزشمندی مانند آدرس IP هدف، عامل کاربر، جزئیات دستگاه و نسخه‌های نرم‌افزار را نشان می‌دهد.

سپس مهاجم از آسیب‌پذیری OpenSea برای استخراج نام NFT هدف خود استفاده می‌کند و آدرس کیف پول مربوطه را با اطلاعات شناسایی مانند ایمیل یا شماره تلفنی که لینک اصلی ارسال شده است مرتبط می‌کند.

Imperva گفت OpenSea “به سرعت به این مشکل رسیدگی کرد” و ارتباطات کتابخانه را به درستی محدود کرد و گزارش داد که پلتفرم “دیگر در معرض خطر چنین حملاتی نیست.”

مربوط: تیم امنیتی داشبوردی را برای شناسایی هک های احتمالی NFT در OpenSea ایجاد می کند

کاربران این پلتفرم مدت‌هاست قربانی حملاتی شده‌اند که عملکردهای OpenSea را برای انجام سوءاستفاده‌ها تقلید می‌کنند، مانند وب‌سایت‌های فیشینگ که شبیه به پلتفرم یا درخواست امضا ظاهر می شود از OpenSea سرچشمه می گیرد.

خود اوپن سی با انتقاد مواجه شده است برای امنیت پلت فرم آن به دلیل الف حمله عمده فیشینگ در فوریه 2022 که منجر به سرقت بیش از 1.7 میلیون دلار NFT از کاربران شد.

در مورد وصله اخیر، مشخص نیست که چه مدت وجود داشته است یا آیا کاربرانی تحت تأثیر این اکسپلویت قرار گرفته اند یا خیر.

OpenSea بلافاصله به درخواست Cointelegraph برای اظهار نظر پاسخ نداد.