- 成功利用 OpenSea 上的漏洞後,攻擊者可以獲取用戶的身份。
- 漏洞出現後,OpenSea 迅速修復了該問題。
網絡安全公司 Imperva的 在流行的 NFT 市場上檢測到一個主要漏洞 OpenSea,如果成功利用,攻擊者可以獲取平台上用戶的身份。
根據 Imperva 的說法,OpenSea 使用的 iFrame-resizer 庫的錯誤配置是導致該漏洞的主要原因。
Imperva 提供了有關該問題的利用機制的更多詳細信息,並表示攻擊者將通過電子郵件或短信發送鏈接。
如果受害者點擊鏈接,目標的 IP 地址、用戶代理、設備詳細信息和軟件版本等重要信息將被檢索。
然後將利用跨站點搜索漏洞獲取目標的 NFT 名稱,然後攻擊者會將洩露的 NFT/公共錢包地址與鏈接最初發送到的電子郵件或電話號碼相關聯。
不過,Imperva 的報告中提到,OpenSea 已經在報告後修復了該問題,市場不再面臨此類攻擊的風險
污點過去
過去,OpenSea 曾面臨著對該平台安全性的嚴重擔憂。 2022 年 XNUMX 月,它成為 NFT 生態系統中最大黑客之一的中心。
在利用過程中,價值 1.7 萬美元的 NFT 從用戶的錢包中被盜。 OpenSea 首席執行官 Devin Finzer 承認了這一違規行為。
另一個更新:在過去的幾個小時裡,我們與 NFT 領域的數十個人、團隊和項目進行了交談。 https://t.co/fB5r3cMA1r
-德文·芬澤(dfinzer.eth)(@dfinzer) 2022 年 2 月 20 日
不到三個月,市場再次受到衝擊 discord頻道被入侵. 黑客發布了虛假的 YouTube 合作新聞,其中包含指向釣魚網站的鏈接。
黑客攻擊的影響使 OpenSea 採取了一些具體措施來保護其用戶。 上個月,它推出了一個 寬限期 三個小時,在此期間賣家將被阻止在假定的銷售後接受報價。
交易活動減少
與此同時,自 40 月中旬以來,OpenSea 平台上的交易活動顯著下降。 根據 Token Terminal 的數據,截至發稿時,每週 NFT 交易量暴跌 XNUMX%。
因此,支付給創作者的版稅也有所下降。 在撰寫本文時,每週供應方費用暴跌 40%,這可能會阻止感興趣的創作者在市場上列出他們的作品。
OpenSea 受到重創,因為 模糊 [模糊] 席捲 NFT 市場生態系統的風暴。 根據 Dune Analytics 的數據,OpenSea 在所有市場的總交易量中所佔份額降至 26%。
然而,它仍然設法保住了很大一部分用戶群和銷售總量,分別佔據 62.8% 和 51% 的主導地位。
資料來源:https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/