Tregu Nonfungible Token (NFT) OpenSea thuhet se ka korrigjuar një dobësi që, nëse shfrytëzohet, mund të ekspozojë informacionin identifikues për përdoruesit e tij anonimë.
Në 9 mars blog, firma e sigurisë kibernetike Imperva detajoi se si zbuloi cenueshmërinë për të cilën pretendonte se mund të deanonimizonte përdoruesit e OpenSea "duke lidhur një adresë IP, një sesion shfletuesi ose një email në kushte të caktuara" me një NFT.
Duke qenë se NFT korrespondon me një adresë të portofolit të kriptomonedhës, identiteti i vërtetë i një përdoruesi mund të zbulohet nga informacioni i mbledhur dhe i lidhur me portofolin dhe aktivitetin e tij, shpjegoi Imperva.
Imperva Red Team zbuloi një cenueshmëri kërkimi ndër-site që ndikonte në #NFT treg #HapSea.
Kjo dobësi lejon deanonimizimin e përdoruesve, duke zbuluar potencialisht identitetin e një përdoruesi. https://t.co/nGQWceeGEc
— Imperva (@Imperva) March 9, 2023
Shfrytëzimi kuptohet se ka përfituar nga një dobësi e kërkimit në faqe. Imperva pretendoi se OpenSea kishte konfiguruar gabim një bibliotekë që ndryshon përmasat e elementeve të faqes së internetit që ngarkojnë përmbajtjen HTML nga diku tjetër, të cilat zakonisht përdoren për të vendosur reklama, përmbajtje interaktive ose video të ngulitura.
Meqenëse OpenSea nuk e kufizoi komunikimin e kësaj biblioteke, shfrytëzuesit mund të përdorin informacionin që ajo transmeton si një "orakull" për t'u ngushtuar kur kërkimet nuk japin rezultate pasi faqja e internetit do të ishte më e vogël.
Imperva detajoi se një sulmues do ta bënte dërgojnë objektivin e tyre një lidhje përmes postës elektronike ose SMS, të cilat nëse klikohen "zbulojnë informacione të vlefshme, të tilla si adresa IP e objektivit, agjenti i përdoruesit, detajet e pajisjes dhe versionet e softuerit".
Sulmuesi më pas do të përdorte cenueshmërinë e OpenSea për të nxjerrë emrat NFT të objektivit të tyre dhe për të lidhur adresën përkatëse të portofolit me informacionin identifikues si një email ose një numër telefoni të cilit i është dërguar lidhja origjinale.
Imperva tha se OpenSea "e trajtoi shpejt çështjen" dhe kufizoi siç duhet komunikimet e bibliotekës dhe raportoi se platforma "nuk ishte më në rrezik nga sulme të tilla".
Related: Ekipi i sigurisë krijon pult për të zbuluar hakimet e mundshme të NFT në OpenSea
Përdoruesit e platformës kanë qenë prej kohësh viktima të sulmeve që imitojnë funksionet e OpenSea për të ndërmarrë shfrytëzime, të tilla si faqet e internetit të phishing që i ngjajnë platformës ose shfaqen kërkesat për nënshkrime me origjinë nga OpenSea.
Vetë OpenSea është përballur me kritika për sigurinë e platformës së saj për shkak të a sulm i madh phishing në shkurt 2022 që rezultoi në vjedhjen e NFT-ve me vlerë mbi 1.7 milion dollarë nga përdoruesit.
Sa i përket patch-it të fundit, nuk dihet se sa kohë ka ekzistuar ose nëse ndonjë përdorues është prekur nga shfrytëzimi.
OpenSea nuk iu përgjigj menjëherë kërkesës së Cointelegraph për koment.
Burimi: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities