Сообщается, что торговая площадка OpenSea исправила уязвимость, которая в случае использования может раскрыть информацию о своих пользователях.
В блоге от 9 марта фирма по кибербезопасности Imperva подробно описала, как она обнаружила уязвимость, которая, по ее утверждению, может деанонимизировать пользователей OpenSea “путем привязки IP-адреса, сеанса браузера или электронной почты в определенных условиях” к NFT.
Поскольку NFT соответствует адресу кошелька криптовалюты, реальная личность пользователя может быть раскрыта на основе собранной информации, связанной с кошельком и его активностью, пояснил Imperva.
Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила библиотеку, которая изменяет размеры элементов веб-страницы, загружающих HTML-контент из других источников, которые обычно используются для размещения рекламы, интерактивного контента или встроенных видеороликов.
Поскольку OpenSea не ограничивала связь с этой библиотекой, злоумышленники могли использовать информацию, которую она передает, как “оракул”, чтобы сузить область поиска, когда поисковые запросы не дают результатов, поскольку веб-страница будет меньше.
Imperva уточнила, что злоумышленник отправит своей цели ссылку по электронной почте или SMS, при нажатии на которую “раскрывается ценная информация, такая как IP-адрес цели, пользовательский агент, сведения об устройстве и версии программного обеспечения”.
Скриншот главной страницы OpenSea. Источник: OpenSea
Затем злоумышленник использует уязвимость OpenSea для извлечения NFT-имен своей цели и связывает соответствующий адрес кошелька с идентификационной информацией, такой как адрес электронной почты или номер телефона, на который была отправлена исходная ссылка.
Imperva заявила, что OpenSea “быстро решила проблему” и должным образом ограничила связь библиотеки и сообщила, что платформа “больше не подвергается риску подобных атак”.
Пользователи платформы уже давно становятся жертвами атак, имитирующих функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, похожие на платформу, или запросы подписи, которые, как представляется, исходят от OpenSea.
Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинг-атаки в феврале 2022 года, в результате которой у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.
Что касается последнего исправления, неизвестно, как долго оно существовало и пострадали ли какие-либо пользователи от эксплойта.
" 
