OpenSea Patches Potenziell Serious Vulnerabilitéit

NFT Maartplaz OpenSea huet viru kuerzem eng Schwachstelle an hirem Code adresséiert, déi exploitéiert ka ginn fir Benotzerdaten ze lecken. 

Imperva erkennt OpenSea Vulnerabilitéit

Den 9. Mäerz huet d'Cybersécherheetsfirma Imperva op eng Schwachstelle an der Opensee Plattform. D'Firma huet e Blogpost publizéiert, deen hir Erkenntnisser detailléiert a behaapt datt d'Schwachheet sérieux Sécherheetsbedrohungen fir d'Benotzerdaten duerstellt. Béisaarteg Akteuren kéinten de Feeler ausnotzen fir perséinlech Informatioun iwwer Benotzer z'entdecken, wéi hir Telefonsnummeren an E-Mail IDen. 

D'Équipe tweeted, 

"Imperva Red Team huet eng Cross-Site Sich Schwachstelle entdeckt déi den NFT Maartplaz OpenSea beaflosst."

Dës Schwachstelle erlaabt d'Deanonymiséierung vu Benotzer, potenziell d'Identitéit vun engem Benotzer z'entdecken.

Laut dem Bericht kënnen anonyme OpenSea Benotzer enthüllt ginn andeems Dir dëse Feeler manipuléiert an eng IP Adress, eng Browser Sessioun oder souguer eng E-Mail un en NFT verbënnt. Als Resultat kënnen anonyme Keefer riskéieren datt hir Identitéit ausgesat ass, wann déi entspriechend Krypto Portemonnaie Adress am Zesummenhang mat der Informatioun gesammelt vun der Identifikatiounsadress opgedeckt gëtt. 

Root-Cause - Bibliothéik falsch Konfiguratioun

De Bericht analyséiert weider d'Ursaach vun der Saach, identifizéieren d'Feelkonfiguratioun vun der iFrame-resizer Bibliothéik benotzt vun der NFT Plattform, wat d'Sich-Sich Schwachstelle verursaacht huet. Dëst bedeit datt d'Plattform eng Bibliothéik falsch konfiguréiert huet, déi d'Gréisst vun der Websäit Elementer änneren, déi HTML Inhalt vu soss anzwuesch lued. 

Dës Fonktioun gëtt benotzt fir Annoncen, interaktiven Inhalt oder embedded Videoen ze placéieren. Well d'OpenSea Plattform d'Kommunikatioune vun dëser Bibliothéik net beschränkt huet, wier et einfach fir Hacker an aner béisaarteg Akteuren déi iwwerdroen Informatioun ze manipuléieren an als "Orakel" ze benotzen fir Ziler ze identifizéieren. 

Si kënnen dann dem Zil e Link per E-Mail oder SMS schécken. Wann d'Zil op de Link klickt, ginn hir perséinlech Informatioun, dorënner hir IP Adress, Benotzer Agent, Apparat Detailer, a Software Versiounen, opgedeckt. D'E-Mailadress an d'Telefonsnummer konnten als Identifikatiounsmäert gehandelt hunn, fir den Ugräifer Zougang zu den Nimm vun den NFTs ze kréien, déi mam Zil verbonne sinn an hir entspriechend Portemonnaie Adress. 

OpenSea Sécherheet Bedenken

Gemellt huet d'OpenSea Team d'Thema adresséiert andeems se séier e Patch verëffentlecht fir d'Schwachheet ze fixéieren. D'Imperva Team huet bestätegt datt dëse Patch d'Cross-Origin Kommunikatioun beschränkt an zukünfteg Ausbeutung verhënnert, sou datt d'Drohung erfollegräich adresséiert. 

Wéi och ëmmer, dëst ass net déi éischt Sécherheetsbedrohung fir OpenSea. Am September 2021 huet d'Plattform e Feeler erlieft, deen zu der Läschen vun NFTs Wäert 28.44 ETH oder $ 100,000. Virun engem Joer méi spéit, am Februar 2022, gouf OpenSea vun engem Hacker gezielt, deen e puer geklaut hat. héichwäerteg NFTs vun de Benotzer vun der Plattform. 

Verzichterklärung: Dësen Artikel gëtt nëmme fir Informatiounszwecker zur Verfügung gestallt. Et gëtt net ugebueden oder geduecht als legal, Steier, Investitioun, finanziell oder aner Berodung ze benotzen.