OpenSea Patches Потенциалдуу олуттуу аялуу

NFT базары OpenSea жакында эле колдонуучунун маалыматтарын ачыкка чыгаруу үчүн колдонулушу мүмкүн болгон кодундагы алсыздыкка кайрылды. 

Imperva OpenSea аялуулугун аныктайт

9-мартта Imperva киберкоопсуздук фирмасы алсыздыкты белгиледи ачылат платформа. Фирма өзүнүн жыйынтыктарын чагылдырган блог постун жарыялады жана алсыздык колдонуучулардын маалыматтарына олуттуу коркунуч келтирет деп ырастады. Зыяндуу актерлор колдонуучулардын телефон номерлери жана электрондук почта идентификаторлору сыяктуу жеке маалыматты ачуу үчүн катаны колдонушу мүмкүн. 

Команда твиттерде: 

"Imperva Red Team NFT базарындагы OpenSeaга таасир этүүчү сайттар аралык издөө аялуулугун тапты."

Бул алсыздык колдонуучуларды деанонимизациялоого мүмкүндүк берет, бул колдонуучунун инсандыгын ачып берет.

Отчетко ылайык, OpenSeaнын анонимдүү колдонуучулары бул мүчүлүштүктөрдү манипуляциялоо жана IP дарегин, серепчи сеансын, атүгүл электрондук катты NFTге байланыштыруу аркылуу ачыкка чыгышы мүмкүн. Натыйжада, анонимдүү сатып алуучулар идентификациялык даректен алынган маалыматка байланыштуу крипто капчыктын тиешелүү дареги ачылса, алардын инсандыгы ачыкка чыгып калуу коркунучу бар. 

Түпкү себеп – китепкананын туура эмес конфигурациясы

Отчет андан ары маселенин түпкү себебин талдап, iFrame-resizer китепканасынын туура эмес конфигурациясын аныктайт. NFT платформасы, бул сайттар аралык издөө аялуулугун жаратты. Бул платформа башка жерден HTML мазмунун жүктөөчү веб-баракчанын элементтеринин өлчөмүн өзгөрткөн китепкананы туура эмес конфигурациялаганын билдирет. 

Бул функция жарнамаларды, интерактивдүү мазмунду же кыстарылган видеолорду жайгаштыруу үчүн колдонулат. OpenSea платформасы бул китепкананын байланышын чектебегендиктен, хакерлерге жана башка зыяндуу актерлорго таратылган маалыматты манипуляциялоо жана аны максаттарды так аныктоо үчүн "оракул" катары колдонуу оңой болмок. 

Алар электрондук почта же SMS аркылуу максаттуу шилтемени жөнөтө алышат. Эгер максаттуу шилтемени чыкылдатса, алардын жеке маалыматы, анын ичинде IP дареги, колдонуучу агенти, түзмөктүн чоо-жайы жана программалык камсыздоонун версиялары ачылат. Электрондук почта дареги жана телефон номери чабуулчуга бутага туташкан NFTтердин аталыштарына жана алардын тиешелүү капчык даректерине кирүүгө мүмкүндүк берүү үчүн аныктоочу базарлар катары иштеши мүмкүн. 

OpenSea коопсуздук маселелери

Кабарларга караганда, OpenSea командасы алсыздыкты оңдоо үчүн патчты тез чыгаруу менен маселени чечти. Imperva командасы бул патч кайчылаш келип чыгуучу байланышты чектеп, келечектеги эксплуатациянын алдын алып, коркунучту ийгиликтүү чечет деп ырастады. 

Бирок, бул OpenSea туш болгон биринчи коопсуздук коркунучу эмес. 2021-жылдын сентябрында платформа катага туш болуп, натыйжада NFTs жок кылуу 28.44 ETH же 100,000 2022 долларды түзөт. Бир жылдан кийин, XNUMX-жылдын февралында OpenSea бир нече уурдаган хакердин бутасына алынган. жогорку баалуу NFTs платформанын колдонуучуларынан. 

Эскертүү: Бул макала маалымат берүү максатында гана берилген. Ал юридикалык, салыктык, инвестициялык, каржылык жана башка кеңештер катары колдонулбайт же колдонулбайт.