Исследование показало, что злоумышленники могут раскрыть личности тех, кто использует крупнейший рынок NFT.
14 марта 2023 г.В OpenSea, возможно, самом популярном в мире рынке невзаимозаменяемых токенов (NFT), была обнаружена уязвимость, которая позволяла хакерам деанонимизировать пользователей и, возможно, даже полностью раскрывать их личности.
Согласно новому отчету исследователей кибербезопасности, входящих в Красную команду, по адресу Imperva, который уведомил OpenSea, а позже подтвердил, что уязвимость была должным образом устранена.
В сообщении в блоге с подробным описанием выводов Imperva исследователи заявили, что веб-сайт OpenSea содержит уязвимость межсайтового поиска, поскольку он не ограничивает общение между источниками. Корнем проблемы была библиотека iFrame-resizer.
Раскрытие информации о владельцах NFT
Исследователи объяснили: «Библиотека iFrame-resizer передает данные о ширине и высоте страницы, которые можно использовать в качестве «оракула», чтобы определить, когда конкретный поиск возвращает результаты, потому что страница меньше, когда поиск возвращает нулевые результаты. . Путем непрерывного поиска активов пользователя, который выполняется через вкладку или всплывающее окно, злоумышленник может утечь имя NFT, созданного пользователем, тем самым раскрывая адрес своего общедоступного кошелька. Эта информация может связать идентификацию пользователя с утечкой NFT и общедоступным адресом кошелька. ».
> Еще одна популярная торговая площадка NFT может иметь серьезную уязвимость в системе безопасности<сильный>
> Площадка NFT OpenSea обнаружила серьезные недостатки в безопасности
> Познакомьтесь с лучшими брандмауэрами прямо сейчас
В результате жертвы могут быть раскрыты, заключили исследователи.
Чтобы воспользоваться уязвимостью, злоумышленник может отправить жертве ссылку по электронной почте, SMS или любым другим способом. другой канал связи. Нажав на ссылку, жертва раскрывает ценную информацию, такую как IP-адрес, пользовательский агент, сведения об устройстве, версии программного обеспечения и т. д.
Затем злоумышленник использует уязвимость межсайтового поиска, чтобы извлечь один имен NFT цели. И, связывая просочившийся адрес NFT/общедоступного кошелька с целью, злоумышленник может раскрыть истинную личность жертвы.
После раскрытия уязвимости на рынке OpenSea «быстро» выпустила патч, говорят исследователи. Они пришли к выводу, что недостаток был устранен путем ограничения связи между источниками, что снизило риск дальнейшего использования.
- Вот наш список лучших анонимных браузеров на данный момент
Оригинал