گزارش شده است که بازار توکن غیرقابل تعویض OpenSea آسیب پذیری را اصلاح کرده است که در صورت سوءاستفاده، میتواند اطلاعات شناسایی کاربران ناشناس خود را فاش کند.
در وبلاگی در 9 مارس، شرکت امنیت سایبری Imperva توضیح داد که چگونه آسیب پذیری را کشف کرده است که ادعا میکند میتواند کاربران OpenSea را «با پیوند دادن یک آدرس IP، یک کوکی مرورگر، یا یک ایمیل در شرایط خاص» به یک ان اف تی بی نام کند.
Imperva توضیح داد که از آنجایی که ان اف تی مربوط به آدرس کیف پول ارز دیجیتال است، هویت واقعی کاربر را می توان از اطلاعات جمع آوری شده و مرتبط با کیف پول و فعالیت آن آشکار کرد.
تیم Imperva یک آسیب پذیری جستجوی بین سایتی را کشف کرد که بر بازار ان اف تی OpenSea تأثیر میگذارد.
این آسیب پذیری امکان عدم نامگذاری کاربران را فراهم میکند و به طور بالقوه هویت کاربر را آشکار میکند.
– Imperva (@Imperva) 9 مارس 2023
به نظر می رسد که این اکسپلویت از یک آسیب پذیری جستجوی بین سایتی استفاده کرده است. Imperva ادعا کرد که OpenSea کتابخانه ای را که اندازه عناصر صفحه وب را تغییر می دهد که محتوای HTML را از جاهای دیگر بارگیری می کند، که معمولاً برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود، پیکربندی اشتباهی انجام داده است.
از آنجایی که OpenSea ارتباطات این کتابخانه را محدود نکرده است، بهره برداران میتوانند از اطلاعاتی که این کتابخانه پخش میکند به عنوان یک «اوراکل» استفاده کنند. تا زمانی که جستجوها نتیجه ای نداشتند، از آنجایی که صفحه وب کوچکتر میشود، محدودتر شود.
مطالب مرتبط: کمپانی کیف پول سخت افزاری OneKey، نقصی که باعث هک آن شده بود را برطرف کرد
Imperva توضیح داد که یک مهاجم لینکی را برای هدف خود از طریق ایمیل یا پیامک ارسال می کند. که در صورت کلیک کردن “اطلاعات ارزشمندی مانند آدرس IP هدف، عامل کاربر، جزئیات دستگاه و نسخه های نرم افزار را نشان می دهد.”
سپس مهاجم از آسیب پذیری OpenSea برای استخراج نام ان اف تی هدف خود استفاده میکند. و آدرس کیف پول مربوطه را با اطلاعات شناسایی مانند ایمیل یا شماره تلفنی که لینک اصلی ارسال شده است مرتبط میکند.
Imperva گفت که OpenSea “به سرعت به این مشکل رسیدگی کرد” و ارتباطات کتابخانه را به درستی محدود کرد و گزارش داد که پلتفرم “دیگر در معرض خطر چنین حملاتی نیست.”
کاربران این پلتفرم مدت هاست قربانی حملاتی شدهاند که عملکردهای OpenSea را برای انجام اکسپلویتها تقلید میکنند. مانند وب سایت های فیشینگ که شبیه این پلتفرم هستند یا درخواست های امضا که به نظر میرسد از OpenSea سرچشمه میگیرند.
خود OpenSea به دلیل یک حمله فیشینگ بزرگ در فوریه 2022 که منجر به سرقت بیش از 1.7 میلیون دلار NFT از کاربران شد، برای امنیت پلتفرم خود با انتقاداتی مواجه شده است.
در مورد وصله اخیر، مشخص نیست که چه مدت وجود داشته است یا آیا کاربرانی تحت تأثیر این اکسپلویت قرار گرفته اند یا خیر.
منبع: cointelegraph