OpenSea patcht potenziell schwerwiegende Schwachstelle

Der NFT-Marktplatz OpenSea hat kürzlich eine Schwachstelle in seinem Code behoben, die ausgenutzt werden könnte, um Benutzerdaten zu verlieren. 

Imperva erkennt OpenSea-Schwachstelle

Am 9. März wies das Cybersicherheitsunternehmen Imperva auf eine Schwachstelle in der OpenSea Plattform. Das Unternehmen veröffentlichte einen Blog-Beitrag, in dem es seine Ergebnisse detailliert darlegte, und behauptete, dass die Schwachstelle eine ernsthafte Sicherheitsbedrohung für Benutzerdaten darstelle. Böswillige Akteure könnten den Fehler ausnutzen, um persönliche Informationen über Benutzer wie Telefonnummern und E-Mail-IDs aufzudecken. 

Das Team twitterte: 

„Das Imperva Red Team hat eine Cross-Site-Search-Schwachstelle entdeckt, die den NFT-Marktplatz OpenSea betrifft.“

Diese Schwachstelle ermöglicht die Deanonymisierung von Benutzern, wodurch möglicherweise die Identität eines Benutzers preisgegeben wird.

Dem Bericht zufolge könnten anonyme OpenSea-Benutzer enttarnt werden, indem dieser Fehler manipuliert und eine IP-Adresse, eine Browsersitzung oder sogar eine E-Mail mit einem NFT verknüpft wird. Infolgedessen riskieren anonyme Käufer, dass ihre Identität offengelegt wird, wenn die entsprechende Krypto-Wallet-Adresse in Verbindung mit den von der identifizierenden Adresse gesammelten Informationen preisgegeben wird. 

Grundursache – Fehlkonfiguration der Bibliothek

Der Bericht analysiert weiter die Grundursache der Angelegenheit und identifiziert die Fehlkonfiguration der iFrame-Resizer-Bibliothek, die von verwendet wird NFT-Plattform, die die Cross-Site-Search-Schwachstelle verursacht hat. Dies bedeutet, dass die Plattform eine Bibliothek falsch konfiguriert hat, die die Größe von Webseitenelementen ändert, die HTML-Inhalte von woanders laden. 

Diese Funktion wird verwendet, um Anzeigen, interaktive Inhalte oder eingebettete Videos zu platzieren. Da die OpenSea-Plattform die Kommunikation dieser Bibliothek nicht eingeschränkt hatte, wäre es für Hacker und andere böswillige Akteure einfach, die gesendeten Informationen zu manipulieren und sie als „Orakel“ zu verwenden, um Ziele zu lokalisieren. 

Sie könnten der Zielperson dann einen Link per E-Mail oder SMS senden. Wenn das Ziel auf den Link klickt, werden seine persönlichen Daten, einschließlich seiner IP-Adresse, Benutzeragenten, Gerätedetails und Softwareversionen, preisgegeben. Die E-Mail-Adresse und Telefonnummer hätten als Identifizierungsmärkte fungieren können, um dem Angreifer den Zugriff auf die Namen der mit dem Ziel verbundenen NFTs und ihre entsprechende Wallet-Adresse zu ermöglichen. 

Sicherheitsbedenken von OpenSea

Berichten zufolge hat das OpenSea-Team das Problem behoben, indem es schnell einen Patch veröffentlicht hat, um die Schwachstelle zu beheben. Das Imperva-Team bestätigte, dass dieser Patch die Cross-Origin-Kommunikation einschränkt und zukünftige Ausnutzung verhindern wird, wodurch die Bedrohung erfolgreich bekämpft wird. 

Dies ist jedoch nicht die erste Sicherheitsbedrohung für OpenSea. Im September 2021 trat auf der Plattform ein Fehler auf, der dazu führte, dass die Löschung von NFTs im Wert von 28.44 ETH oder 100,000 $. Ein Jahr später, im Februar 2022, wurde OpenSea von einem Hacker angegriffen, der mehrere gestohlen hatte hochwertige NFTs von den Nutzern der Plattform. 

Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Investitions-, Finanz- oder sonstige Beratung angeboten oder verwendet.