טק

OpenSea מתקן פגיעות פוטנציאלית רצינית

03/13/2023
חדשות Ethereum של ביטקוין

שוק NFT OpenSea טיפל לאחרונה בפגיעות בקוד שלהם שעלולה להיות מנוצלת כדי להדליף נתוני משתמשים. 

Imperva מזהה פגיעות של OpenSea

ב-9 במרץ, חברת אבטחת הסייבר Imperva הצביעה על פגיעות ב- OpenSea פּלַטפוֹרמָה. החברה פרסמה פוסט בבלוג המפרט את ממצאיה וטענה שהפגיעות מהווה איומי אבטחה חמורים לנתוני המשתמשים. שחקנים זדוניים עלולים לנצל את הבאג כדי לחשוף מידע אישי על משתמשים, כמו מספרי הטלפון ומזהי האימייל שלהם. 

תמונה

הצוות צייץ, 

"צוות Imperva Red גילה פגיעות חיפוש חוצה אתרים המשפיעה על שוק ה-NFT OpenSea."

פגיעות זו מאפשרת דה-אנונימיזציה של משתמשים, שעלולה לחשוף את זהות המשתמש.

על פי הדיווח, ניתן לחשוף משתמשי OpenSea אנונימיים על ידי מניפולציה של באג זה וקישור כתובת IP, הפעלת דפדפן או אפילו מייל ל-NFT. כתוצאה מכך, קונים אנונימיים יכולים להסתכן בחשיפה של זהותם אם כתובת ארנק הקריפטו המתאימה תתגלה בקשר למידע שנאסף מהכתובת המזהה. 

שורש הסיבה - תצורה שגויה של הספרייה

הדו"ח מנתח עוד את שורש העניין, מזהה את התצורה השגויה של ספריית iFrame-resizer המשמשת את פלטפורמת NFT, מה שגרם לפגיעות החיפוש חוצה אתרים. משמעות הדבר היא שהפלטפורמה הגדירה באופן שגוי ספרייה שמשנה גודל של רכיבי דף אינטרנט שטוענים תוכן HTML ממקום אחר. 

תכונה זו משמשת להצגת מודעות, תוכן אינטראקטיבי או סרטונים מוטמעים. מכיוון שפלטפורמת OpenSea לא הגבילה את התקשורת של ספרייה זו, יהיה קל להאקרים ולשחקנים זדוניים אחרים לתמרן את המידע המשודר ולהשתמש בו כ"אורקל" כדי לאתר מטרות. 

לאחר מכן הם יכולים לשלוח למטרה קישור באמצעות דואר אלקטרוני או SMS. אם היעד ילחץ על הקישור, המידע האישי שלו, כולל כתובת ה-IP, סוכן המשתמש, פרטי המכשיר וגרסאות התוכנה שלו, ייחשף. כתובת הדואר האלקטרוני ומספר הטלפון יכלו לשמש השווקים המזהים כדי לאפשר לתוקף לגשת לשמות ה-NFTs המחוברים למטרה ולכתובת הארנק המתאימה להם. 

חששות האבטחה של OpenSea

לפי הדיווחים, צוות OpenSea טיפל בבעיה על ידי שחרור מהיר של תיקון לתיקון הפגיעות. צוות Imperva אישר כי תיקון זה מגביל תקשורת בין מקורות וימנע ניצול עתידי, ובכך יתמודד בהצלחה עם האיום. 

עם זאת, זה לא האיום האבטחה הראשון שעומד בפני OpenSea. בספטמבר 2021, הפלטפורמה חוותה באג שהביא ל- מחיקת NFTs בשווי 28.44 ETH או $100,000. קדימה לשנה לאחר מכן, בפברואר 2022, OpenSea היה מטרה על ידי האקר שגנב כמה NFTs בעלי ערך גבוה ממשתמשי הפלטפורמה. 

הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.

מקור: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability