فن آوری

OpenSea آسیب پذیری بالقوه جدی را اصلاح می کند

03/13/2023
اخبار بیت کوین اتریوم

بازار NFT OpenSea اخیراً به یک آسیب‌پذیری در کد خود پرداخته است که می‌تواند برای افشای اطلاعات کاربران مورد سوء استفاده قرار گیرد. 

Imperva آسیب پذیری OpenSea را شناسایی می کند

در 9 مارس، شرکت امنیت سایبری Imperva به یک آسیب پذیری در این کشور اشاره کرد باز می شود در سکو. این شرکت یک پست وبلاگی منتشر کرد که در آن جزئیات یافته‌های خود را توضیح داد و ادعا کرد که این آسیب‌پذیری تهدیدات امنیتی جدی برای داده‌های کاربر ایجاد می‌کند. عوامل مخرب می توانند از این باگ برای کشف اطلاعات شخصی کاربران، مانند شماره تلفن و شناسه ایمیل آنها سوء استفاده کنند. 

تصویر

این تیم توییت کرد ، 

تیم Imperva Red یک آسیب پذیری جستجوی بین سایتی را کشف کرد که بر بازار NFT OpenSea تأثیر می گذارد.

این آسیب‌پذیری امکان عدم نامگذاری کاربران را فراهم می‌کند و به طور بالقوه هویت کاربر را آشکار می‌کند.

بر اساس این گزارش، کاربران ناشناس OpenSea می‌توانند با دستکاری این باگ و پیوند دادن یک آدرس IP، یک جلسه مرورگر یا حتی یک ایمیل به یک NFT پرده برداری شوند. در نتیجه، اگر آدرس کیف پول رمزنگاری مربوطه در ارتباط با اطلاعات جمع‌آوری‌شده از آدرس شناسایی فاش شود، خریداران ناشناس ممکن است خطر افشای هویت خود را داشته باشند. 

ریشه - پیکربندی نادرست کتابخانه

این گزارش بیشتر علت اصلی این موضوع را تجزیه و تحلیل می‌کند و پیکربندی نادرست کتابخانه iFrame-resizer مورد استفاده توسط پلت فرم NFT، که باعث آسیب پذیری جستجوی بین سایتی شد. این بدان معنی است که پلتفرم کتابخانه ای را که اندازه عناصر صفحه وب را که محتوای HTML را از جای دیگر بارگیری می کند، تغییر داده است. 

این ویژگی برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود. از آنجایی که پلتفرم OpenSea ارتباطات این کتابخانه را محدود نکرده بود، برای هکرها و دیگر عوامل مخرب دستکاری اطلاعات پخش شده و استفاده از آن به عنوان یک "اوراکل" برای تعیین دقیق اهداف آسان خواهد بود. 

سپس می‌توانند از طریق ایمیل یا پیامک پیوندی را برای هدف ارسال کنند. اگر هدف روی لینک کلیک کند، اطلاعات شخصی او، از جمله آدرس IP، عامل کاربر، جزئیات دستگاه و نسخه‌های نرم‌افزار فاش می‌شود. آدرس ایمیل و شماره تلفن می‌توانست به عنوان بازارهای شناسایی عمل کند تا به مهاجم اجازه دهد به نام NFT‌های متصل به هدف و آدرس کیف پول مربوطه آنها دسترسی داشته باشد. 

نگرانی های امنیتی OpenSea

گزارش شده است که تیم OpenSea با انتشار سریع یک وصله برای رفع آسیب‌پذیری، این مشکل را برطرف کرده است. تیم Imperva تأیید کرد که این وصله ارتباط بین مبدأ را محدود می‌کند و از بهره‌برداری آینده جلوگیری می‌کند، بنابراین با موفقیت این تهدید را برطرف می‌کند. 

با این حال، این اولین تهدید امنیتی نیست که OpenSea با آن مواجه است. در سپتامبر 2021، این پلتفرم با مشکلی مواجه شد که منجر به آن شد حذف NFT ها به ارزش 28.44 ETH یا 100,000 دلار. یک سال بعد، در فوریه 2022، OpenSea مورد هدف هکری قرار گرفت که چندین دزدیده بود. NFT های با ارزش بالا از کاربران پلتفرم 

سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.

منبع: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability