Հաղորդվում է, որ ոչ փոխարկվող թոքենի (NFT) շուկան՝ OpenSea-ն, վերացրել է խոցելիությունը, որը շահագործման դեպքում կարող է բացահայտել իր անանուն օգտատերերի մասին նույնականացնող տեղեկությունները:
մարտի 9-ին Օրագիր, կիբերանվտանգության Imperva ընկերությունը մանրամասնել է, թե ինչպես է դա հայտնաբերել է խոցելիությունը որը, ըստ նրա, կարող է անանուն դարձնել OpenSea-ի օգտատերերին՝ «կապելով IP հասցեն, դիտարկիչի աշխատաշրջանը կամ էլփոստը որոշակի պայմաններում» NFT-ին:
Քանի որ NFT-ը համապատասխանում է կրիպտոարժույթի դրամապանակի հասցեին, օգտատիրոջ իրական ինքնությունը կարող է բացահայտվել հավաքված և դրամապանակի և դրա գործունեության հետ կապված տեղեկություններից, բացատրեց Imperva-ն:
Imperva Red Team-ը հայտնաբերել է միջկայքի որոնման խոցելիություն, որն ազդում է # NFT առլտրի հրապարակ # Բաց ծով.
Այս խոցելիությունը թույլ է տալիս անանունացնել օգտատերերը՝ պոտենցիալ բացահայտելով օգտատիրոջ ինքնությունը: https://t.co/nGQWceeGEc
— Իմպերվա (@Imperva) Մարտի 9, 2023
Ենթադրվում է, որ շահագործումն օգտվել է միջկայքային որոնման խոցելիությունից: Imperva-ն պնդում էր, որ OpenSea-ն սխալ կազմաձևել է գրադարանը, որը չափափոխում է վեբ էջի տարրերը, որոնք բեռնում են HTML բովանդակությունը այլ վայրերից, որոնք սովորաբար օգտագործվում են գովազդ, ինտերակտիվ բովանդակություն կամ ներկառուցված տեսանյութեր տեղադրելու համար:
Քանի որ OpenSea-ն չի սահմանափակել այս գրադարանի հաղորդակցությունը, շահագործողները կարող են օգտագործել այն տեղեկատվությունը, որը հեռարձակվում է որպես «օրակուլ», որպեսզի սահմանափակեն այն, երբ որոնումները արդյունք չեն տալիս, քանի որ վեբ էջն ավելի փոքր կլինի:
Իմպերվան մանրամասնեց, որ հարձակվողը դա կանի ուղարկել իրենց թիրախին հղում էլփոստի կամ SMS-ի միջոցով, որը սեղմելու դեպքում «բացահայտում է արժեքավոր տեղեկություններ, ինչպիսիք են թիրախի IP հասցեն, օգտագործողի գործակալը, սարքի մանրամասները և ծրագրաշարի տարբերակները»:
Այնուհետև հարձակվողը կօգտագործի OpenSea-ի խոցելիությունը՝ հանելու իր թիրախի NFT անունները և համապատասխան դրամապանակի հասցեն կապակցելու նույնականացման տեղեկատվության հետ, ինչպիսիք են էլ. փոստը կամ հեռախոսահամարը, որն ուղարկվել է բնօրինակ հղումը:
Imperva-ն ասաց, որ OpenSea-ն «արագ անդրադարձավ խնդրին» և պատշաճ կերպով սահմանափակեց գրադարանի հաղորդակցությունը և հայտնեց, որ հարթակը «այլևս նման հարձակումների վտանգի տակ չէր»:
Related: Անվտանգության թիմը ստեղծում է վահանակ՝ OpenSea-ում հնարավոր NFT հաքերները հայտնաբերելու համար
Պլատֆորմի օգտատերերը վաղուց դարձել են հարձակումների զոհեր, որոնք ընդօրինակում են OpenSea-ի գործառույթները՝ իրականացնելու շահագործում, օրինակ՝ ֆիշինգի կայքեր, որոնք նման են հարթակին կամ ստորագրության հարցումների հայտնվելը ծագել OpenSea-ից։
Ինքը OpenSea բախվել է քննադատության իր հարթակի անվտանգության համար՝ պայմանավորված ա խոշոր ֆիշինգ հարձակումը 2022 թվականի փետրվարին, որի արդյունքում օգտատերերից գողացվել են ավելի քան 1.7 միլիոն դոլար արժողությամբ NFT-ներ:
Ինչ վերաբերում է վերջին կարկատմանը, անհայտ է, թե որքան ժամանակ է այն գոյություն ունեցել, կամ արդյոք որևէ օգտվող ազդել է շահագործումից:
OpenSea-ն անմիջապես չպատասխանեց Cointelegraph-ի մեկնաբանության խնդրանքին:
Աղբյուր՝ https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities