- Celah pada OpenSea apabila berjaya dieksploitasi boleh membenarkan penyerang mendapatkan identiti pengguna.
- OpenSea dengan cepat membetulkan isu itu selepas kelemahan itu menjadi perhatian.
Syarikat keselamatan siber Imperva mengesan kelemahan utama pada pasaran NFT yang popular Opensea, yang apabila berjaya dieksploitasi, boleh membenarkan penyerang mendapatkan identiti pengguna pada platform.
Menurut Imperva, salah konfigurasi perpustakaan iFrame-resizer yang digunakan oleh OpenSea adalah sebab utama di sebalik kelemahan itu.
Memberikan butiran lanjut tentang mekanisme eksploitasi untuk isu tersebut, Imperva menyatakan bahawa penyerang akan menghantar pautan melalui e-mel atau SMS.
Jika mangsa mengklik pada pautan, maklumat penting seperti alamat IP sasaran, ejen pengguna, butiran peranti dan versi perisian akan diambil.
Kerentanan carian merentas tapak kemudiannya akan dieksploitasi untuk mendapatkan nama NFT sasaran dan penyerang kemudiannya akan mengaitkan alamat NFT/dompet awam yang bocor dengan e-mel atau nombor telefon tempat pautan itu pada mulanya dihantar.
Bagaimanapun, laporan Imperva menyebut bahawa OpenSea telah membetulkan isu itu selepas ia dilaporkan dan pasaran tidak lagi berisiko terhadap serangan sedemikian.
Tercemar Masa Lalu
OpenSea telah menghadapi kebimbangan serius terhadap keselamatan platform pada masa lalu. Pada Februari 2022, ia berada di tengah-tengah salah satu penggodaman terbesar dalam ekosistem NFT.
Semasa eksploitasi itu, NFT bernilai $1.7 juta telah dicuri daripada dompet pengguna. Pelanggaran itu diakui oleh Ketua Pegawai Eksekutif OpenSea Devin Finzer.
Kemas kini lain: sejak beberapa jam yang lalu kami telah bercakap dengan berpuluh-puluh orang, pasukan dan projek di seluruh ruang NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Februari 20, 2022
Dalam masa kurang daripada tiga bulan, pasaran itu kembali dilanda apabila ia saluran perselisihan telah terjejas. Penggodam menyiarkan berita kerjasama YouTube palsu yang menyertakan pautan ke tapak pancingan data.
Kesan penggodaman menyebabkan OpenSea mengambil beberapa langkah konkrit untuk melindungi penggunanya. Bulan lepas, ia memperkenalkan a tempoh penangguhan selama tiga jam di mana penjual akan dihalang daripada menerima tawaran selepas jualan yang sepatutnya.
Aktiviti perdagangan merosot
Sementara itu, OpenSea menyaksikan penurunan ketara dalam aktiviti dagangan di platform sejak pertengahan Februari. Dagangan NFT mingguan menjunam 40% sehingga masa akhbar, mengikut data daripada Terminal Token.
Akibat daripada ini, royalti yang dibayar kepada pencipta juga menurun. Yuran bahagian bekalan mingguan menjunam 40% pada masa penulisan, yang boleh menghalang pencipta yang berminat daripada menyenaraikan karya mereka di pasaran.
Sumber: Terminal Token
OpenSea telah terjejas teruk kerana Kabur [BLUR] ribut yang melanda ekosistem pasaran NFT. Mengikut data daripada Dune Analytics, bahagian OpenSea dalam jumlah volum dagangan merentas semua pasaran dikurangkan kepada 26%.
Walau bagaimanapun, ia masih berjaya mengekalkan sebahagian besar pangkalan pengguna dan jumlah jualan, dengan penguasaan masing-masing sebanyak 62.8% dan 51%.
Sumber: Analisis Dune
Sumber: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/