Pasaran NFT OpenSea baru-baru ini menangani kelemahan dalam kod mereka yang boleh dieksploitasi untuk membocorkan data pengguna.
Imperva Mengesan Kerentanan OpenSea
Pada 9 Mac, firma keselamatan siber Imperva menunjukkan kelemahan dalam Opensea platform. Firma itu menerbitkan catatan blog yang memperincikan penemuannya dan mendakwa bahawa kelemahan itu menimbulkan ancaman keselamatan yang serius kepada data pengguna. Pelakon berniat jahat boleh mengeksploitasi pepijat untuk mendedahkan maklumat peribadi tentang pengguna, seperti nombor telefon dan ID e-mel mereka.
Pasukan itu menulis tweet,
"Pasukan Merah Imperva menemui kelemahan carian merentas tapak yang menjejaskan pasaran NFT OpenSea."
Kerentanan ini membolehkan penyahnamaan pengguna, yang berpotensi mendedahkan identiti pengguna.
Menurut laporan itu, pengguna OpenSea tanpa nama boleh didedahkan dengan memanipulasi pepijat ini dan memautkan alamat IP, sesi pelayar, atau e-mel ke NFT. Akibatnya, pembeli tanpa nama boleh berisiko identiti mereka terdedah jika alamat dompet kripto yang sepadan didedahkan berkaitan dengan maklumat yang dikumpul daripada alamat pengecam.
Punca Punca – Salah konfigurasi Perpustakaan
Laporan itu selanjutnya menganalisis punca perkara itu, mengenal pasti salah konfigurasi perpustakaan iFrame-resizer yang digunakan oleh Platform NFT, yang menyebabkan kelemahan carian merentas tapak. Ini bermakna platform telah salah konfigurasi perpustakaan yang mengubah saiz elemen halaman web yang memuatkan kandungan HTML dari tempat lain.
Ciri ini digunakan untuk meletakkan iklan, kandungan interaktif atau video terbenam. Memandangkan platform OpenSea tidak menyekat komunikasi perpustakaan ini, adalah mudah bagi penggodam dan pelakon berniat jahat lain untuk memanipulasi maklumat yang disiarkan dan menggunakannya sebagai "peramal" untuk menentukan sasaran.
Mereka kemudiannya boleh menghantar pautan kepada sasaran melalui e-mel atau SMS. Jika sasaran mengklik pada pautan, maklumat peribadi mereka, termasuk alamat IP, ejen pengguna, butiran peranti dan versi perisian mereka, akan didedahkan. Alamat e-mel dan nombor telefon boleh bertindak sebagai pasaran yang mengenal pasti untuk membolehkan penyerang mengakses nama NFT yang disambungkan kepada sasaran dan alamat dompet mereka yang sepadan.
Kebimbangan Keselamatan OpenSea
Dilaporkan pasukan OpenSea telah menangani isu itu dengan cepat mengeluarkan tampalan untuk membetulkan kelemahan. Pasukan Imperva mengesahkan bahawa tampung ini menyekat komunikasi silang asal dan akan menghalang eksploitasi masa depan, sekali gus berjaya menangani ancaman itu.
Walau bagaimanapun, ini bukan ancaman keselamatan pertama yang dihadapi oleh OpenSea. Pada September 2021, platform tersebut mengalami pepijat yang mengakibatkan pemadaman NFT bernilai 28.44 ETH atau $100,000. Maju ke setahun kemudian, pada Februari 2022, OpenSea disasarkan oleh penggodam yang telah mencuri beberapa NFT bernilai tinggi daripada pengguna platform.
Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.
Sumber: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability