Nonfungible token (NFT) pazarı OpenSea'nin, kötüye kullanılması durumunda anonim kullanıcıları hakkındaki tanımlayıcı bilgileri açığa çıkarabilecek bir güvenlik açığını kapattığı bildirildi.
9 Mart'ta blogSiber güvenlik firması Imperva bunun nasıl yapılacağını ayrıntılı olarak anlattı güvenlik açığını keşfetti "bir IP adresini, bir tarayıcı oturumunu veya belirli koşullarda bir e-postayı bir NFT'ye bağlayarak" OpenSea kullanıcılarının anonimliğini kaldırabileceğini iddia etti.
Imperva, NFT'nin bir kripto para birimi cüzdan adresine karşılık gelmesi nedeniyle, bir kullanıcının gerçek kimliğinin, toplanan ve cüzdan ve cüzdan faaliyetleriyle bağlantılı bilgilerden ortaya çıkarılabileceğini açıkladı.
Imperva Red Team, siteler arası aramada bir güvenlik açığı keşfetti. #NFT çarşı #Açık deniz.
Bu güvenlik açığı, kullanıcıların kimliğinin açığa çıkmasına ve potansiyel olarak kullanıcının kimliğinin açığa çıkmasına olanak tanır. https://t.co/nGQWceeGEc
— Imperva (@Imperva) 9 Mart, 2023
İstismarın siteler arası arama güvenlik açığından yararlandığı anlaşılıyor. Imperva, OpenSea'nin, genellikle reklamları, etkileşimli içeriği veya gömülü videoları yerleştirmek için kullanılan HTML içeriğini başka yerden yükleyen web sayfası öğelerini yeniden boyutlandıran bir kitaplığı yanlış yapılandırdığını iddia etti.
OpenSea bu kütüphanenin iletişimini kısıtlamadığından, istismarcılar, web sayfası daha küçük olacağından, aramalar sonuç vermediğinde kapsamı daraltmak için onun yayınladığı bilgileri bir "kahanet" olarak kullanabilirler.
Imperva, bir saldırganın hedeflerine bir bağlantı gönder tıklandığında "hedefin IP adresi, kullanıcı aracısı, cihaz ayrıntıları ve yazılım sürümleri gibi değerli bilgileri ortaya çıkaran" e-posta veya SMS aracılığıyla.
Saldırgan daha sonra hedefinin NFT adlarını çıkarmak ve ilgili cüzdan adresini, orijinal bağlantının gönderildiği e-posta veya telefon numarası gibi tanımlayıcı bilgilerle ilişkilendirmek için OpenSea'nin güvenlik açığını kullanacak.
Imperva, OpenSea'nin "sorunu hızlı bir şekilde ele aldığını" ve kütüphanenin iletişimini uygun şekilde kısıtladığını ve platformun "artık bu tür saldırılara karşı risk altında olmadığını" bildirdi.
İlgili: Güvenlik ekibi, OpenSea'deki olası NFT saldırılarını tespit etmek için gösterge tablosu oluşturur
Platformun kullanıcıları uzun süredir, platforma benzeyen kimlik avı web siteleri veya OpenSea'nin açıklardan yararlanma amaçlı işlevlerini taklit eden saldırıların kurbanı olmuştur. imza istekleri görünüyor OpenSea'den kaynaklanacak.
OpenSea'nin kendisi eleştirilere maruz kaldı platform güvenliği nedeniyle büyük kimlik avı saldırısı Şubat 2022'de kullanıcılardan 1.7 milyon dolar değerinde NFT'nin çalınmasıyla sonuçlandı.
Son yamanın ne kadar süredir var olduğu ya da herhangi bir kullanıcının bu açıktan etkilenip etkilenmediği bilinmiyor.
OpenSea, Cointelegraph'ın yorum talebine hemen yanıt vermedi.
Kaynak: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities