טק

OpenSea מתקן פגיעות שעלולה לחשוף את זהויות המשתמשים

03/13/2023
חדשות Ethereum של ביטקוין

על פי הדיווחים, שוק ה-Nonfungible Token (NFT) OpenSea תיקן פגיעות שאם ניצול עליה, עלולה לחשוף מידע מזהה על המשתמשים האנונימיים שלה. 

ב-9 במרץ בלוג, חברת אבטחת הסייבר Imperva פירטה איך זה גילה את הפגיעות שלטענתה עשויה להפוך את משתמשי OpenSea לאנונימית "על ידי קישור כתובת IP, הפעלת דפדפן או אימייל בתנאים מסוימים" ל-NFT.

מכיוון שה-NFT מתאים לכתובת של ארנק קריפטו, זהותו האמיתית של המשתמש יכולה להיחשף מהמידע שנאסף ומקושר לארנק ולפעילותו, הסביר אימפרווה.

ברור שהניצול ניצל פגיעות של חיפוש חוצה אתרים. Imperva טענה ש-OpenSea קבעה באופן שגוי ספרייה שמשנה גודל של רכיבי דף אינטרנט הטוענים תוכן HTML ממקום אחר, המשמשים בדרך כלל להצגת מודעות, תוכן אינטראקטיבי או סרטונים מוטמעים.

תמונה

מכיוון ש-OpenSea לא הגבילה את התקשורת של ספרייה זו, מנצלים יכלו להשתמש במידע שהיא משדרת כ"אורקל" כדי לצמצם כאשר חיפושים לא מחזירים תוצאות מכיוון שדף האינטרנט יהיה קטן יותר.

אימפרווה פירט שתוקף יעשה זאת לשלוח ליעד שלהם קישור באמצעות דואר אלקטרוני או SMS שאם לוחצים עליו "חושפים מידע רב ערך, כגון כתובת ה-IP של היעד, סוכן המשתמש, פרטי המכשיר וגרסאות התוכנה".

צילום מסך של העמוד הראשון של OpenSea. מקור: OpenSea

לאחר מכן, התוקף ישתמש בפגיעות של OpenSea כדי לחלץ את שמות ה-NFT של היעד שלו ולשייך את כתובת הארנק המתאימה למידע מזהה כגון מייל או מספר טלפון שנשלחו לקישור המקורי.

אימפרווה אמרה ש-OpenSea "טיפלה במהירות בבעיה" והגבילה כראוי את התקשורת של הספרייה ודיווחה שהפלטפורמה "כבר לא נמצאת בסיכון להתקפות כאלה".

מידע נוסף: צוות האבטחה יוצר לוח מחוונים כדי לזהות פריצות פוטנציאליות ל-NFT ב-OpenSea

משתמשי הפלטפורמה היו מזמן קורבנות של התקפות המחקות את הפונקציות של OpenSea לביצוע ניצולים, כגון אתרי פישינג הדומים לפלטפורמה או בקשות חתימה מופיעות שמקורו ב-OpenSea.

OpenSea עצמו התמודד עם ביקורת לאבטחת הפלטפורמה שלה עקב א מתקפת דיוג גדולה בפברואר 2022, מה שהביא לגניבת מכשירי NFT ממשתמשים בשווי של למעלה מ-1.7 מיליון דולר.

באשר לתיקון האחרון, לא ידוע כמה זמן הוא קיים או אם משתמשים כלשהם הושפעו מהניצול.

OpenSea לא הגיבה מייד לבקשתו של קוינטלגרף להגיב.