NFT 市場 OpenSea 最近解決了其代碼中的一個漏洞,該漏洞可能被利用來洩露用戶數據。
Imperva 檢測到 OpenSea 漏洞
9 月 XNUMX 日,網絡安全公司 Imperva 指出了 OpenSea 平台。 該公司發布了一篇博文,詳細介紹了其調查結果,並聲稱該漏洞對用戶數據構成了嚴重的安全威脅。 惡意行為者可以利用該錯誤來發現有關用戶的個人信息,例如他們的電話號碼和電子郵件 ID。
該團隊發推文稱,
“Imperva 紅隊發現了一個影響 NFT 市場 OpenSea 的跨站搜索漏洞。”
此漏洞允許用戶去匿名化,可能會洩露用戶的身份。
根據該報告,可以通過操縱此漏洞並將 IP 地址、瀏覽器會話甚至電子郵件鏈接到 NFT 來揭露匿名 OpenSea 用戶。 因此,如果與從識別地址收集的信息相關的相應加密錢包地址被洩露,匿名買家可能會面臨身份暴露的風險。
根本原因——庫配置錯誤
該報告進一步分析了問題的根本原因,確定了 iFrame-resizer 庫的配置錯誤 NFT平台,這導致了跨站點搜索漏洞。 這意味著該平台錯誤配置了一個庫,該庫會調整從其他地方加載 HTML 內容的網頁元素的大小。
此功能用於放置廣告、互動內容或嵌入式視頻。 由於 OpenSea 平台沒有限制該庫的通信,黑客和其他惡意行為者很容易操縱廣播信息並將其用作“神諭”來查明目標。
然後他們可以通過電子郵件或短信向目標發送鏈接。 如果目標點擊鏈接,他們的個人信息,包括他們的 IP 地址、用戶代理、設備詳細信息和軟件版本,將被洩露。 電子郵件地址和電話號碼可能充當識別市場,允許攻擊者訪問連接到目標的 NFT 的名稱及其相應的錢包地址。
OpenSea 的安全問題
據報導,OpenSea 團隊已經通過快速發布補丁來修復漏洞來解決這個問題。 Imperva 團隊確認此補丁限制了跨源通信並將防止未來的利用,從而成功解決了威脅。
然而,這並不是 OpenSea 面臨的第一個安全威脅。 2021 年 XNUMX 月,該平台遇到了一個錯誤,導致 刪除 NFT 價值 28.44 ETH 或 100,000 美元。 一年後,即 2022 年 XNUMX 月,OpenSea 成為一名黑客的目標,他竊取了數個 高價值 NFT 來自平台用戶。
免責聲明:本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
來源:https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability