بازار NFT OpenSea اخیراً به یک آسیبپذیری در کد خود پرداخته است که میتواند برای افشای اطلاعات کاربران مورد سوء استفاده قرار گیرد.
Imperva آسیب پذیری OpenSea را شناسایی می کند
در 9 مارس، شرکت امنیت سایبری Imperva به یک آسیب پذیری در این کشور اشاره کرد باز می شود در سکو. این شرکت یک پست وبلاگی منتشر کرد که در آن جزئیات یافتههای خود را توضیح داد و ادعا کرد که این آسیبپذیری تهدیدات امنیتی جدی برای دادههای کاربر ایجاد میکند. عوامل مخرب می توانند از این باگ برای کشف اطلاعات شخصی کاربران، مانند شماره تلفن و شناسه ایمیل آنها سوء استفاده کنند.
این تیم توییت کرد ،
تیم Imperva Red یک آسیب پذیری جستجوی بین سایتی را کشف کرد که بر بازار NFT OpenSea تأثیر می گذارد.
این آسیبپذیری امکان عدم نامگذاری کاربران را فراهم میکند و به طور بالقوه هویت کاربر را آشکار میکند.
بر اساس این گزارش، کاربران ناشناس OpenSea میتوانند با دستکاری این باگ و پیوند دادن یک آدرس IP، یک جلسه مرورگر یا حتی یک ایمیل به یک NFT پرده برداری شوند. در نتیجه، اگر آدرس کیف پول رمزنگاری مربوطه در ارتباط با اطلاعات جمعآوریشده از آدرس شناسایی فاش شود، خریداران ناشناس ممکن است خطر افشای هویت خود را داشته باشند.
ریشه - پیکربندی نادرست کتابخانه
این گزارش بیشتر علت اصلی این موضوع را تجزیه و تحلیل میکند و پیکربندی نادرست کتابخانه iFrame-resizer مورد استفاده توسط پلت فرم NFT، که باعث آسیب پذیری جستجوی بین سایتی شد. این بدان معنی است که پلتفرم کتابخانه ای را که اندازه عناصر صفحه وب را که محتوای HTML را از جای دیگر بارگیری می کند، تغییر داده است.
این ویژگی برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود. از آنجایی که پلتفرم OpenSea ارتباطات این کتابخانه را محدود نکرده بود، برای هکرها و دیگر عوامل مخرب دستکاری اطلاعات پخش شده و استفاده از آن به عنوان یک "اوراکل" برای تعیین دقیق اهداف آسان خواهد بود.
سپس میتوانند از طریق ایمیل یا پیامک پیوندی را برای هدف ارسال کنند. اگر هدف روی لینک کلیک کند، اطلاعات شخصی او، از جمله آدرس IP، عامل کاربر، جزئیات دستگاه و نسخههای نرمافزار فاش میشود. آدرس ایمیل و شماره تلفن میتوانست به عنوان بازارهای شناسایی عمل کند تا به مهاجم اجازه دهد به نام NFTهای متصل به هدف و آدرس کیف پول مربوطه آنها دسترسی داشته باشد.
نگرانی های امنیتی OpenSea
گزارش شده است که تیم OpenSea با انتشار سریع یک وصله برای رفع آسیبپذیری، این مشکل را برطرف کرده است. تیم Imperva تأیید کرد که این وصله ارتباط بین مبدأ را محدود میکند و از بهرهبرداری آینده جلوگیری میکند، بنابراین با موفقیت این تهدید را برطرف میکند.
با این حال، این اولین تهدید امنیتی نیست که OpenSea با آن مواجه است. در سپتامبر 2021، این پلتفرم با مشکلی مواجه شد که منجر به آن شد حذف NFT ها به ارزش 28.44 ETH یا 100,000 دلار. یک سال بعد، در فوریه 2022، OpenSea مورد هدف هکری قرار گرفت که چندین دزدیده بود. NFT های با ارزش بالا از کاربران پلتفرم
سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.
منبع: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability