Der Nonfungible Token (NFT)-Marktplatz OpenSea hat Berichten zufolge eine Schwachstelle gepatcht, die bei Ausnutzung identifizierende Informationen über seine anonymen Benutzer preisgeben könnte.
In einem 9. März Blog, das Cybersicherheitsunternehmen Imperva erläuterte, wie es geht die Schwachstelle entdeckt die behauptete, OpenSea-Benutzer deanonymisieren zu können, „indem eine IP-Adresse, eine Browsersitzung oder eine E-Mail unter bestimmten Bedingungen“ mit einer NFT verknüpft wird.
Da die NFT einer Kryptowährungs-Wallet-Adresse entspricht, könnte die wahre Identität eines Benutzers aus den gesammelten und mit der Wallet und ihrer Aktivität verknüpften Informationen aufgedeckt werden, erklärte Imperva.
Das Imperva Red Team hat eine Cross-Site-Search-Schwachstelle entdeckt, die die #NFT Marktplatz #Offenes Meer.
Diese Schwachstelle ermöglicht die Deanonymisierung von Benutzern, wodurch möglicherweise die Identität eines Benutzers preisgegeben wird. https://t.co/nGQWceeGEc
– Imperva (@Imperva) 9. März 2023
Es wird davon ausgegangen, dass der Exploit eine Cross-Site-Search-Schwachstelle ausgenutzt hat. Imperva behauptete, OpenSea habe eine Bibliothek falsch konfiguriert, die die Größe von Webseitenelementen ändert, die HTML-Inhalte von woanders laden, die normalerweise zum Platzieren von Anzeigen, interaktiven Inhalten oder eingebetteten Videos verwendet werden.
Da OpenSea die Kommunikation dieser Bibliothek nicht eingeschränkt hat, könnten Exploiter die von ihr gesendeten Informationen als „Orakel“ verwenden, um einzugrenzen, wenn Suchen keine Ergebnisse liefern, da die Webseite kleiner wäre.
Imperva führte aus, dass ein Angreifer dies tun würde Senden Sie ihrem Ziel einen Link per E-Mail oder SMS, die beim Anklicken „wertvolle Informationen wie die IP-Adresse des Ziels, den Benutzeragenten, Gerätedetails und Softwareversionen preisgibt“.
Der Angreifer würde dann die Schwachstelle von OpenSea nutzen, um die NFT-Namen seines Ziels zu extrahieren und die entsprechende Wallet-Adresse mit identifizierenden Informationen wie einer E-Mail oder Telefonnummer zu verknüpfen, an die der ursprüngliche Link gesendet wurde.
Imperva sagte, OpenSea habe „das Problem schnell angegangen“ und die Kommunikation der Bibliothek ordnungsgemäß eingeschränkt und berichtet, dass die Plattform „nicht mehr durch solche Angriffe gefährdet“ sei.
Related: Das Sicherheitsteam erstellt ein Dashboard, um potenzielle NFT-Hacks in OpenSea zu erkennen
Nutzer der Plattform sind seit langem Opfer von Angriffen, die Funktionen von OpenSea nachahmen, um Exploits zu unternehmen, wie z. B. Phishing-Websites, die der Plattform ähneln oder Signaturanfragen erscheinen von OpenSea stammen.
OpenSea selbst ist auf Kritik gestoßen für seine Plattformsicherheit aufgrund a Großer Phishing-Angriff im Februar 2022, was dazu führte, dass NFTs im Wert von über 1.7 Millionen US-Dollar von Benutzern gestohlen wurden.
Was den jüngsten Patch betrifft, ist nicht bekannt, wie lange er existierte oder ob Benutzer von dem Exploit betroffen waren.
OpenSea reagierte nicht sofort auf die Bitte von Cointelegraph um einen Kommentar.
Quelle: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentiell-exposed-users-identities