Nonfungible token (NFT) нарығы OpenSea осалдықты түзетіп, ол пайдаланылса, оның анонимді пайдаланушылары туралы идентификациялық ақпаратты ашуы мүмкін деп хабарлайды.
9 наурызда блог, Imperva киберқауіпсіздік фирмасы бұл туралы егжей-тегжейлі айтып берді осалдығын анықтады Ол OpenSea пайдаланушыларын «белгілі бір жағдайларда IP мекенжайын, шолғыш сеансын немесе электрондық поштаны» NFT-ке байланыстыру арқылы анонимизациялауы мүмкін деп мәлімдеді.
NFT криптовалюта әмиянының мекенжайына сәйкес келетіндіктен, пайдаланушының нақты жеке басын жиналған және әмиянға және оның белсенділігіне байланыстыратын ақпараттан анықтауға болады, деп түсіндірді Imperva.
Imperva Red Team сайттар аралық іздеу осалдығын анықтады # NFT алаңы # АшықАяқ.
Бұл осалдық пайдаланушыларды деанонимизациялауға мүмкіндік береді, бұл пайдаланушының жеке басын ашуы мүмкін. https://t.co/nGQWceeGEc
— Имперва (@Imperva) Наурыз 9, 2023
Эксплойт сайттар аралық іздеу осалдығын пайдаланды деп түсініледі. Imperva OpenSea әдетте жарнамаларды, интерактивті мазмұнды немесе ендірілген бейнелерді орналастыру үшін пайдаланылатын HTML мазмұнын басқа жерден жүктейтін веб-бет элементтерінің өлшемін өзгертетін кітапхананы қате конфигурациялады деп мәлімдеді.
OpenSea бұл кітапхананың байланысын шектемегендіктен, пайдаланушылар веб-бет кішірек болатындықтан, іздеулер нәтиже бермеген кезде оны тарылту үшін «oracle» ретінде ол тарататын ақпаратты пайдалана алады.
Imperva шабуылдаушы жасайтынын егжей-тегжейлі айтты мақсатқа сілтеме жіберіңіз электрондық пошта немесе SMS арқылы, ол басқан кезде «мақсаттың IP мекенжайы, пайдаланушы агенті, құрылғы мәліметтері және бағдарламалық құрал нұсқалары сияқты құнды ақпаратты көрсетеді».
Содан кейін қаскүнем OpenSea осалдығын өз нысанасының NFT атауларын шығарып алу үшін пайдаланады және сәйкес әмиян мекенжайын бастапқы сілтеме жіберілген электрондық пошта немесе телефон нөмірі сияқты идентификациялық ақпаратпен байланыстырады.
Imperva OpenSea «мәселені тез шешкенін» және кітапхананың байланысын дұрыс шектегенін және платформаның «мұндай шабуылдарға бұдан былай қауіп төндірмейтінін» хабарлады.
Қатысты: Қауіпсіздік тобы OpenSea-да ықтимал NFT бұзылуларын анықтау үшін бақылау тақтасын жасайды
Платформаның пайдаланушылары ұзақ уақыт бойы платформаға ұқсайтын фишингтік веб-сайттар сияқты эксплуаттарды орындау үшін OpenSea функцияларына ұқсайтын шабуылдардың құрбаны болды. қол қою сұраулары пайда болады OpenSea-дан шыққан.
OpenSea өзі сынға ұшырады платформасының қауіпсіздігіне байланысты ірі фишингтік шабуыл 2022 жылдың ақпанында пайдаланушылардан 1.7 миллион доллардан астам NFT ұрланды.
Соңғы патчқа келетін болсақ, оның қанша уақыт болғаны немесе эксплуаттың кез келген пайдаланушыға әсер еткені белгісіз.
OpenSea Cointelegraph -тың түсініктеме сұрауына бірден жауап бермеді.
Дереккөз: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities