Nonfungible token (NFT) базары OpenSea Кабарларга караганда, эгер эксплуатацияланса, анын анонимдүү колдонуучулары тууралуу идентификациялык маалыматты ачыкка чыгара турган аялуу жерди оңдогон.
9-мартта блог, киберкоопсуздук фирмасы Imperva бул тууралуу кеңири айтып берди кемчилигин аныктады ал OpenSea колдонуучуларын "белгилүү бир шарттарда IP дарегин, серепчи сеансын же электрондук катты" NFTге байланыштыруу менен анонимизациялай алат деп ырастады.
NFT криптовалюталык капчык дарегине туура келгендиктен, колдонуучунун чыныгы инсандыгы чогултулган маалыматтан ачыкка чыгып, капчыкка жана анын ишмердүүлүгүнө байланыштуу болушу мүмкүн, деп түшүндүрдү Imperva.
Imperva Red Team сайттар аралык издөөгө таасир эткен кемчиликти тапты #NFT базар #Ачык деңиз.
Бул алсыздык колдонуучуларды деанонимизациялоого мүмкүндүк берет, бул колдонуучунун инсандыгын ачып берет. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Март 9, 2023
Эксплуатация сайттар аралык издөөнүн кемчилигин колдонду деп түшүнүлөт. Imperva OpenSea адатта жарнамаларды, интерактивдүү мазмунду же кыстарылган видеолорду жайгаштыруу үчүн колдонулган HTML мазмунун башка жерден жүктөөчү веб-баракча элементтеринин өлчөмүн өзгөрткөн китепкананы туура эмес конфигурациялады деп ырастады.
OpenSea бул китепкананын байланышын чектебегендиктен, эксплуататорлор ал таркаткан маалыматты "оракул" катары колдоно алышат, анткени издөөлөр эч кандай натыйжа бербегенде, веб-баракча кичиреймек.
Имперва чабуулчу болоорун майда-чүйдөсүнө чейин айтып берди алардын максаттуу шилтемени жөнөтүү электрондук почта же SMS аркылуу, эгер басылса, "максаттын IP дареги, колдонуучунун агенти, түзмөктүн чоо-жайы жана программалык камсыздоонун версиялары сыяктуу баалуу маалыматты көрсөтөт."
Андан кийин чабуулчу OpenSeaнын аялуулугун колдонуп, алардын NFT аталыштарын алып чыгып, капчыктын тиешелүү дарегин аныктоочу маалымат менен байланыштырат, мисалы, баштапкы шилтеме жөнөтүлгөн электрондук почта же телефон номери.
Imperva OpenSea "маселени тез арада чечкенин" жана китепкананын байланышын талаптагыдай чектегенин жана платформа "мындай чабуулдардын коркунучу жок" деп билдирди.
байланыштуу: Коопсуздук командасы OpenSeaдагы потенциалдуу NFT хакерлерин аныктоо үчүн панелди түзөт
Платформанын колдонуучулары көптөн бери платформага окшош фишинг веб-сайттары сыяктуу эксплуатацияларды жасоо үчүн OpenSea функцияларын окшоштурган чабуулдардын курмандыгы болуп келишкен. кол коюу сурамдары пайда болот OpenSeaдан келип чыккан.
OpenSea өзү сынга кабылды анын платформа коопсуздугу үчүн улам а ири фишингдик чабуул 2022-жылдын февралында колдонуучулардан 1.7 миллион долларлык NFT уурдалган.
Акыркы патчка келсек, анын канча убакыттан бери бар экени же кандайдыр бир колдонуучу эксплуатациядан жабыркаганы белгисиз.
OpenSea Cointelegraphдын комментарий берүү өтүнүчүнө дароо жооп берген жок.
Булак: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities