OpenSea Yamaları Potansiyel Olarak Ciddi Güvenlik Açığı

NFT pazarı OpenSea kısa süre önce kodlarında kullanıcı verilerini sızdırmak için kullanılabilecek bir güvenlik açığını giderdi. 

Imperva OpenSea Güvenlik Açığı Tespit Ediyor

9 Mart'ta siber güvenlik firması Imperva, güvenlik açığına dikkat çekti. OpenSea platformu. Firma, bulgularını detaylandıran bir blog yazısı yayınladı ve güvenlik açığının kullanıcı verileri için ciddi güvenlik tehditleri oluşturduğunu iddia etti. Kötü niyetli aktörler, kullanıcılarla ilgili telefon numaraları ve e-posta kimlikleri gibi kişisel bilgileri ortaya çıkarmak için bu hatadan yararlanabilir. 

Ekip tweet attı 

“Imperva Red Team, NFT pazarı OpenSea'yi etkileyen siteler arası arama güvenlik açığını keşfetti.”

Bu güvenlik açığı, kullanıcıların kimliğinin açığa çıkmasına ve potansiyel olarak kullanıcının kimliğinin açığa çıkmasına olanak tanır.

Rapora göre, anonim OpenSea kullanıcıları bu hatayı manipüle ederek ve bir IP adresini, bir tarayıcı oturumunu ve hatta bir e-postayı bir NFT'ye bağlayarak açığa çıkarılabilir. Sonuç olarak, anonim alıcılar, tanımlayıcı adresten toplanan bilgilerle bağlantılı olarak ilgili kripto cüzdan adresinin ifşa edilmesi durumunda kimliklerinin ifşa edilmesi riskiyle karşı karşıya kalabilir. 

Kök Neden – Kitaplığın Yanlış Yapılandırması

Rapor, sorunun temel nedenini daha ayrıntılı bir şekilde analiz ederek, kullanıcılar tarafından kullanılan iFrame-resizer kitaplığının yanlış yapılandırıldığını tespit ediyor. NFT platformu, siteler arası arama güvenlik açığına neden oldu. Bu, platformun başka bir yerden HTML içeriği yükleyen web sayfası öğelerini yeniden boyutlandıran bir kitaplığı yanlış yapılandırdığı anlamına gelir. 

Bu özellik reklamları, etkileşimli içeriği veya gömülü videoları yerleştirmek için kullanılır. OpenSea platformu bu kütüphanenin iletişimini kısıtlamadığından, bilgisayar korsanlarının ve diğer kötü niyetli aktörlerin yayınlanan bilgileri manipüle etmesi ve bunu hedefleri belirlemek için bir "kahanet" olarak kullanması kolay olacaktı. 

Daha sonra hedefe e-posta veya SMS yoluyla bir bağlantı gönderebilirler. Hedef bağlantıya tıklarsa IP adresi, kullanıcı aracısı, cihaz ayrıntıları ve yazılım sürümleri de dahil olmak üzere kişisel bilgileri ortaya çıkacak. E-posta adresi ve telefon numarası, saldırganın hedefe bağlı NFT'lerin adlarına ve bunlara karşılık gelen cüzdan adreslerine erişmesine olanak tanıyan tanımlayıcı pazarlar görevi görebilir. 

OpenSea'nin Güvenlik Kaygıları

Bildirildiğine göre OpenSea ekibi, güvenlik açığını gidermek için hızlı bir şekilde bir yama yayınlayarak sorunu çözdü. Imperva ekibi, bu yamanın çapraz kaynaklar arası iletişimi kısıtladığını ve gelecekteki istismarları önleyeceğini, böylece tehdidi başarıyla ele alacağını doğruladı. 

Ancak bu OpenSea'nin karşılaştığı ilk güvenlik tehdidi değil. Eylül 2021'de platformda şu sonuçlara yol açan bir hata yaşandı: NFT'lerin silinmesi 28.44 ETH veya 100,000 $ değerinde. Bir yıl sonrasına, yani Şubat 2022'de OpenSea, birkaç tanesini çalan bir bilgisayar korsanının hedefi oldu. yüksek değerli NFT'ler platformun kullanıcılarından. 

Sorumluluk Reddi: Bu makale yalnızca bilgi amaçlı sağlanmıştır. Yasal, vergi, yatırım, mali veya başka bir tavsiye olarak sunulmaz veya kullanılması amaçlanmaz.