OpenSea آسیب‌پذیری‌هایی را اصلاح می‌کند که به طور بالقوه هویت کاربران را افشا می‌کند

گزارش شده است که بازار توکن غیرقابل تعویض (NFT) OpenSea آسیب‌پذیری را اصلاح کرده است که در صورت سوءاستفاده، می‌تواند اطلاعات شناسایی کاربران ناشناس خود را فاش کند.

در 9 مارس وبلاگ، شرکت امنیت سایبری Imperva چگونگی آن را توضیح داد آسیب پذیری را کشف کرد که ادعا می‌کند می‌تواند کاربران OpenSea را «با پیوند دادن یک آدرس IP، یک جلسه مرورگر یا یک ایمیل در شرایط خاص» به یک NFT بی‌نام کند.

Imperva توضیح داد که از آنجایی که NFT مربوط به آدرس کیف پول ارز دیجیتال است، هویت واقعی کاربر را می توان از اطلاعات جمع آوری شده و مرتبط با کیف پول و فعالیت آن آشکار کرد.

تیم Imperva Red یک آسیب پذیری جستجوی بین سایتی را کشف کرد که بر روی آن تأثیر می گذارد #NFT بازار #دریای آزاد.
این آسیب‌پذیری امکان عدم نامگذاری کاربران را فراهم می‌کند و به طور بالقوه هویت کاربر را آشکار می‌کند. https://t.co/nGQWceeGEc
- Imperva (@Imperva) مارس 9، 2023

به نظر می رسد که این اکسپلویت از یک آسیب پذیری جستجوی بین سایتی استفاده کرده است. Imperva ادعا کرد که OpenSea کتابخانه ای را که اندازه عناصر صفحه وب را تغییر می دهد که محتوای HTML را از جاهای دیگر بارگیری می کند که معمولاً برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود، پیکربندی اشتباهی انجام داده است.

از آنجایی که OpenSea ارتباطات این کتابخانه را محدود نکرده است، بهره‌برداران می‌توانند از اطلاعاتی که این کتابخانه پخش می‌کند به‌عنوان یک «اوراکل» استفاده کنند تا زمانی که جستجوها هیچ نتیجه‌ای نداشتند، زیرا صفحه وب کوچک‌تر می‌شود.

ایمپروا توضیح داد که یک مهاجم این کار را می کند یک لینک به هدف خود بفرستند از طریق ایمیل یا پیامک که در صورت کلیک کردن، اطلاعات ارزشمندی مانند آدرس IP هدف، عامل کاربر، جزئیات دستگاه و نسخه‌های نرم‌افزار را نشان می‌دهد.

*اسکرین شات از صفحه اول OpenSea. منبع: OpenSea*

سپس مهاجم از آسیب‌پذیری OpenSea برای استخراج نام NFT هدف خود استفاده می‌کند و آدرس کیف پول مربوطه را با اطلاعات شناسایی مانند ایمیل یا شماره تلفنی که لینک اصلی ارسال شده است مرتبط می‌کند.

Imperva گفت OpenSea "به سرعت به این مشکل رسیدگی کرد" و ارتباطات کتابخانه را به درستی محدود کرد و گزارش داد که پلتفرم "دیگر در معرض خطر چنین حملاتی نیست."

مرتبط: تیم امنیتی داشبوردی را برای شناسایی هک های احتمالی NFT در OpenSea ایجاد می کند

کاربران این پلتفرم مدت‌هاست قربانی حملاتی شده‌اند که عملکردهای OpenSea را برای انجام سوءاستفاده‌ها تقلید می‌کنند، مانند وب‌سایت‌های فیشینگ که شبیه به پلتفرم یا درخواست امضا ظاهر می شود از OpenSea سرچشمه می گیرد.

خود اوپن سی با انتقاد مواجه شده است برای امنیت پلت فرم آن به دلیل الف حمله اصلی فیشینگ در فوریه 2022 که منجر به سرقت بیش از 1.7 میلیون دلار NFT از کاربران شد.

در مورد وصله اخیر، مشخص نیست که چه مدت وجود داشته است یا آیا کاربرانی تحت تأثیر این اکسپلویت قرار گرفته اند یا خیر.

OpenSea فوراً به درخواست Cointelegraph برای اظهار نظر پاسخ نداد.