OpenSea arnon dobësi potencialisht serioze

Tregu NFT OpenSea kohët e fundit adresoi një dobësi në kodin e tyre që mund të shfrytëzohej për të nxjerrë të dhënat e përdoruesit. 

Imperva zbulon cenueshmërinë e OpenSea

Më 9 mars, firma e sigurisë kibernetike Imperva vuri në dukje një cenueshmëri në Deti i Hapur platformë. Firma publikoi një postim në blog duke detajuar gjetjet e saj dhe pretendoi se dobësia përbënte kërcënime serioze të sigurisë për të dhënat e përdoruesve. Aktorët keqdashës mund të shfrytëzojnë defektin për të zbuluar informacione personale rreth përdoruesve, si numrat e tyre të telefonit dhe ID-të e emailit. 

Ekipi postoi në Twitter, 

"Ekipi i Imperva Red zbuloi një cenueshmëri kërkimi në faqe që ndikon në tregun NFT OpenSea."

Kjo dobësi lejon deanonimizimin e përdoruesve, duke zbuluar potencialisht identitetin e një përdoruesi.

Sipas raportit, përdoruesit anonimë të OpenSea mund të zbulohen duke manipuluar këtë gabim dhe duke lidhur një adresë IP, një seancë shfletuesi, apo edhe një email me një NFT. Si rezultat, blerësit anonimë mund të rrezikojnë të ekspozojnë identitetin e tyre nëse adresa përkatëse e portofolit kripto zbulohet në lidhje me informacionin e mbledhur nga adresa identifikuese. 

Root-Cause – Keqkonfigurim i bibliotekës

Raporti analizon më tej shkakun rrënjësor të çështjes, duke identifikuar keqkonfigurimin e bibliotekës iFrame-resizer të përdorur nga Platforma NFT, e cila shkaktoi cenueshmërinë e kërkimit në faqe. Kjo do të thotë se platforma kishte konfiguruar gabim një bibliotekë që ndryshon përmasat e elementeve të faqes së internetit duke ngarkuar përmbajtjen HTML nga diku tjetër. 

Ky funksion përdoret për të vendosur reklama, përmbajtje interaktive ose video të integruara. Meqenëse platforma OpenSea nuk kishte kufizuar komunikimet e kësaj biblioteke, do të ishte e lehtë për hakerat dhe aktorët e tjerë keqdashës të manipulonin informacionin e transmetuar dhe ta përdornin atë si një "orakull" për të identifikuar objektivat. 

Ata më pas mund t'i dërgojnë objektivit një lidhje me email ose SMS. Nëse objektivi klikon në lidhje, informacioni i tij personal, duke përfshirë adresën e tij IP, agjentin e përdoruesit, detajet e pajisjes dhe versionet e softuerit, do të zbulohen. Adresa e emailit dhe numri i telefonit mund të kenë vepruar si tregje identifikuese për të lejuar sulmuesin të aksesojë emrat e NFT-ve të lidhura me objektivin dhe adresën e tyre përkatëse të portofolit. 

Shqetësimet e sigurisë së OpenSea

Thuhet se ekipi i OpenSea e ka adresuar çështjen duke lëshuar shpejt një patch për të rregulluar cenueshmërinë. Ekipi Imperva konfirmoi se ky patch kufizon komunikimin me origjinë të kryqëzuar dhe do të parandalojë shfrytëzimin e ardhshëm, duke trajtuar kështu me sukses kërcënimin. 

Megjithatë, ky nuk është kërcënimi i parë i sigurisë me të cilin përballet OpenSea. Në shtator 2021, platforma përjetoi një gabim që rezultoi në fshirja e NFT-ve me vlerë 28.44 ETH ose 100,000 dollarë. Një vit më vonë, në shkurt 2022, OpenSea u vu në shënjestër nga një haker që kishte vjedhur disa NFT me vlerë të lartë nga përdoruesit e platformës. 

Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër.