Deanonimizująca podatność na OpenSea załatana

Dane użytkowników OpenSea nie były bezpieczne

Firma cybersecurity Imperva znalazła lukę na platformie OpenSea, która mogła zostać wykorzystana do wydobycia informacji o użytkownikach, takich jak adresy e-mail i numery telefonów. Poinformowali oni platfromę i podatność została już rzekomo załatana.

Przyjmuje się, że exploit wykorzystywał lukę w elementach od stron trzecich. Imperva twierdziła, że OpenSea źle skonfigurowała bibliotekę, która zmienia rozmiar elementów strony internetowej, które ładują zawartość HTML z innej strony internetowej. Te elementy są zwykle używane do umieszczania reklam, interaktywnych treści lub osadzonych filmów.

Ponieważ NFT znajduje się na danym adresie portfela kryptowalutowego, prawdziwa tożsamość użytkownika mogła zostać ujawniona na podstawie zebranych informacji i powiązania portfela z aktywnością jego właściciela w internecie - wyjaśniła Imperva.

Imperva wyszczególniła, że atakujący wysyłałby swojemu celowi link poprzez e-mail lub SMS, który po kliknięciu ujawnia cenne informacje, takie jak adres IP, szczegóły urządzenia i wersje oprogramowania. Atakujący następnie wykorzystałby lukę OpenSea do wyodrębnienia nazw NFT swojego celu i powiązania odpowiadającego im adresu portfela z informacjami identyfikacyjnymi, takimi jak adres e-mail lub numer telefonu, które wydobył poprzez fałszywy link wysłany wcześniej do ofiary.

Imperva powiedziała, że OpenSea szybko zajęła się problemem i odpowiednio ograniczyła komunikację biblioteki, informując, że platforma nie jest już zagrożona takimi atakami.

Użytkownicy platformy od dawna są ofiarami ataków, które naśladują funkcje OpenSea, takich jak phishingowe strony internetowe, które przypominają platformę lub żądania podpisu w portfelach wyglądające na pochodzące z OpenSea, a w rzeczywistości będące oszustwem.

Sam OpenSea spotkał się z krytyką dotyczącą bezpieczeństwa platformy w związku z dużym atakiem phishingowym w lutym 2022 roku, w wyniku którego użytkownikom skradziono NFT o wartości ponad 1,7 miliona dolarów.

Deanonimizująca podatność na OpenSea załatana

Dane użytkowników OpenSea nie były bezpieczne

Firma cybersecurity Imperva znalazła lukę na platformie OpenSea, która mogła zostać wykorzystana do wydobycia informacji o użytkownikach, takich jak adresy e-mail i numery telefonów. Poinformowali oni platfromę i podatność została już rzekomo załatana.

Ponieważ NFT znajduje się na danym adresie portfela kryptowalutowego, prawdziwa tożsamość użytkownika mogła zostać ujawniona na podstawie zebranych informacji i powiązania portfela z aktywnością jego właściciela w internecie - wyjaśniła Imperva.

Użytkownicy platformy od dawna są ofiarami ataków, które naśladują funkcje OpenSea, takich jak phishingowe strony internetowe, które przypominają platformę lub żądania podpisu w portfelach wyglądające na pochodzące z OpenSea, a w rzeczywistości będące oszustwem.

Nie wiadomo, jak długo istniała ostatnia podatność, ani czy jacyś użytkownicy zostali dotknięci przez exploita.

Podobne wpisy

SEC planuje zwiększyć nadzór nad sektorem krypto

Snoop Dogg planuje uruchomić kolekcję NFT na Cardano

AC Milan tworzy projekt NFT

Brytyjczycy regulują stablecoiny

Lionel Messi ambasadorem NFT

Wyspa Satoshi – kryptowalutowa stolica świata?