OpenSea-ն հայտնաբերում է պոտենցիալ լուրջ խոցելիություն

NFT շուկան OpenSea-ն վերջերս անդրադարձավ իրենց կոդի խոցելիությանը, որը կարող էր օգտագործվել օգտատերերի տվյալների արտահոսքի համար: 

Imperva-ն հայտնաբերել է OpenSea-ի խոցելիությունը

Մարտի 9-ին Imperva կիբերանվտանգության ընկերությունը մատնանշեց խոցելիությունը OpenSea- ն հարթակ. Ընկերությունը հրապարակել է բլոգային գրառում՝ մանրամասնելով իր բացահայտումները և պնդել, որ խոցելիությունը լուրջ սպառնալիքներ է ներկայացնում օգտատերերի տվյալների համար: Վնասակար գործող անձինք կարող են օգտագործել սխալը՝ բացահայտելու օգտատերերի մասին անձնական տվյալները, օրինակ՝ նրանց հեռախոսահամարները և էլ. 

Թիմը թվիթերում գրել է. 

«Imperva Red Team-ը հայտնաբերել է միջկայքային որոնման խոցելիություն, որն ազդում է NFT շուկայի OpenSea-ի վրա»:

Այս խոցելիությունը թույլ է տալիս անանունացնել օգտատերերը՝ պոտենցիալ բացահայտելով օգտատիրոջ ինքնությունը:

Ըստ զեկույցի՝ OpenSea-ի անանուն օգտատերերը կարող են բացահայտվել՝ մանիպուլացնելով այս սխալը և կապելով IP հասցեն, բրաուզերի նիստը կամ նույնիսկ էլփոստը NFT-ին: Արդյունքում, անանուն գնորդները կարող են վտանգի ենթարկել իրենց ինքնությունը, եթե համապատասխան կրիպտո դրամապանակի հասցեն բացահայտվի նույնականացման հասցեից հավաքված տեղեկատվության հետ կապված: 

Root-Cause – Գրադարանի սխալ կազմաձևում

Զեկույցը հետագայում վերլուծում է խնդրի բուն պատճառը՝ բացահայտելով iFrame-resizer գրադարանի սխալ կազմաձևումը, որն օգտագործվում է կազմակերպության կողմից։ NFT պլատֆորմ, որն առաջացրել է միջկայքի որոնման խոցելիությունը: Սա նշանակում է, որ հարթակը սխալ կազմաձևել է գրադարանը, որը չափափոխում է վեբ էջի տարրերը, որոնք բեռնում են HTML բովանդակությունը այլ տեղից: 

Այս հատկությունն օգտագործվում է գովազդ, ինտերակտիվ բովանդակություն կամ ներկառուցված տեսանյութեր տեղադրելու համար: Քանի որ OpenSea հարթակը չէր սահմանափակել այս գրադարանի հաղորդակցությունը, հաքերների և այլ վնասակար դերակատարների համար հեշտ կլիներ շահարկել հեռարձակվող տեղեկատվությունը և օգտագործել այն որպես «օրակուլ»՝ թիրախները մատնանշելու համար: 

Նրանք կարող են այնուհետև թիրախին հղում ուղարկել էլփոստի կամ SMS-ի միջոցով: Եթե ​​թիրախը սեղմի հղման վրա, կբացահայտվեն նրա անձնական տվյալները, ներառյալ IP հասցեն, օգտագործողի գործակալը, սարքի մանրամասները և ծրագրաշարի տարբերակները: Էլփոստի հասցեն և հեռախոսահամարը կարող էին հանդես գալ որպես նույնականացման շուկաներ, որոնք թույլ կտան հարձակվողին մուտք գործել թիրախին միացված NFT-ների անունները և դրանց համապատասխան դրամապանակի հասցեն: 

OpenSea-ի անվտանգության մտահոգությունները

Հաղորդվում է, որ OpenSea-ի թիմը լուծել է խնդիրը՝ արագորեն թողարկելով կարկատել՝ խոցելիությունը շտկելու համար: Imperva-ի թիմը հաստատել է, որ այս կարկատելը սահմանափակում է խաչաձեւ ծագման հաղորդակցությունը և կանխելու է ապագա շահագործումը, այդպիսով հաջողությամբ հաղթահարելով սպառնալիքը: 

Այնուամենայնիվ, սա անվտանգության առաջին սպառնալիքը չէ, որին բախվում է OpenSea-ն։ 2021 թվականի սեպտեմբերին պլատֆորմը վրիպակ ունեցավ, որը հանգեցրեց NFT-ների ջնջում արժողությամբ 28.44 ETH կամ $100,000: Մեկ տարի անց՝ 2022 թվականի փետրվարին, OpenSea-ն թիրախավորվեց հաքերի կողմից, որը գողացել էր մի քանիսը։ բարձրարժեք NFT-ներ հարթակի օգտատերերից: 

Հրաժարում. Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված է օգտագործել որպես իրավական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհուրդ: