OpenSea исправляет уязвимость, которая потенциально раскрывала личные данные пользователей

Nonfungible token marketplace OpenSea has reportedly patched a vulnerability that, if exploited, could have exposed identifying information about its anonymous users.

In a March 9 blog post blog, cybersecurity firm Imperva detailed how it discovered the vulnerability, which it claimed could deanonymize OpenSea users “by linking an IP address, a browser session, or an email in certain conditions” to an NFT.

As the NFT corresponds to a cryptocurrency wallet address, a user’s real identity could be revealed from the information gathered and linked to the wallet and its activity, Imperva explained.

Quote.

Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.

This vulnerability allows for the deanonymization of users, potentially revealing a user’s identity. Imperva (@Imperva) March 9, 2023

End of Quote.

The exploit is understood to have taken advantage of a cross-site search vulnerability. Imperva claimed OpenSea had misconfigured a library that resizes webpage elements that load HTML content from elsewhere that are typically used to place ads, interactive content, or embedded videos.

As OpenSea didn’t restrict this library’s communications, exploiters could use the information it broadcasts as an “oracle” to narrow down when searches return no results as the webpage would be smaller.

Imperva detailed that an attacker would send their target a link through email or SMS, which if clicked “reveals valuable information, such as the target’s IP address, user agent, device details, and software versions.”

Screenshot of OpenSea’s front page. Source: OpenSea

Затем злоумышленник использовал уязвимость OpenSea для извлечения имен NFT своей цели и связывал соответствующий адрес кошелька с идентифицирующей информацией, такой как электронная почта или номер телефона, на который была отправлена оригинальная ссылка.

Imperva заявила, что OpenSea «быстро решила проблему» и должным образом ограничила коммуникации библиотеки, сообщив, что платформа «больше не подвергается риску подобных атак». «

Пользователи платформы уже давно стали жертвами атак, имитирующих функции OpenSea для совершения эксплойтов, например, фишинговых веб-сайтов, похожих на платформу, или запросов на подпись, исходящих от OpenSea.

OpenSea сама подверглась критике за безопасность своей платформы из-за крупной фишинговой атаки в феврале 2022 года, в результате которой было похищено более $1. США.

Что касается недавнего патча, неизвестно, как долго он существовал и пострадал ли кто-то из пользователей от эксплойта.

OpenSea не сразу ответила на запрос Cointelegraph о комментарии.

ОпІіпеСеа не ответила на запрос Cointelegraph о комментарии.