- OpenSea-ზე არსებული ხარვეზი, როდესაც წარმატებით იქნა გამოყენებული, შეეძლო თავდამსხმელს მიეღო მომხმარებელთა ვინაობის მოპოვების საშუალება.
- OpenSea-მ სწრაფად მოაგვარა პრობლემა მას შემდეგ, რაც დაუცველობა გამოვიდა წინა პლანზე.
კიბერუსაფრთხოების კომპანია იმპერვა აღმოაჩინა ძირითადი დაუცველობა პოპულარულ NFT ბაზარზე OpenSea, რომლის წარმატებით ექსპლუატაციის შემთხვევაში, თავდამსხმელს შეეძლო მიეღო პლატფორმის მომხმარებლების ვინაობა.
Imperva-ს თანახმად, OpenSea-ს მიერ გამოყენებული iFrame-resizer ბიბლიოთეკის არასწორი კონფიგურაცია იყო დაუცველობის მთავარი მიზეზი.
ამ საკითხის ექსპლუატაციის მექანიზმის შესახებ დამატებითი დეტალების მიწოდებისას, იმპერვამ განაცხადა, რომ თავდამსხმელი ბმულს გაუგზავნის ელექტრონული ფოსტით ან SMS-ით.
თუ მსხვერპლი დააწკაპუნებს ბმულზე, მოიძიებს სასიცოცხლო ინფორმაციას, როგორიცაა სამიზნის IP მისამართი, მომხმარებლის აგენტი, მოწყობილობის დეტალები და პროგრამული უზრუნველყოფის ვერსიები.
შემდეგ გამოიყენებოდა სხვადასხვა ძიების დაუცველობა სამიზნის NFT სახელების მისაღებად და თავდამსხმელი დააკავშირებს გაჟონულ NFT/საჯარო საფულის მისამართს იმ ელფოსტასთან ან ტელეფონის ნომერთან, სადაც თავდაპირველად ბმული იყო გაგზავნილი.
თუმცა, Imperva-ს მოხსენებაში აღნიშნული იყო, რომ OpenSea-მ მოაგვარა პრობლემა მას შემდეგ, რაც შეტყობინდა და ბაზარი აღარ იყო ასეთი თავდასხმების რისკის ქვეშ.
დაბინძურებული წარსული
OpenSea წარსულში სერიოზულ შეშფოთებას განიცდიდა პლატფორმის უსაფრთხოებასთან დაკავშირებით. 2022 წლის თებერვალში ის NFT ეკოსისტემაში ერთ-ერთი ყველაზე დიდი ჰაკის ცენტრში იყო.
ექსპლოიტის დროს მომხმარებლების საფულედან 1.7 მილიონი დოლარის ღირებულების NFT მოიპარეს. დარღვევა აღიარა OpenSea-ს აღმასრულებელმა დირექტორმა დევინ ფინცერმა.
კიდევ ერთი განახლება: ბოლო რამდენიმე საათის განმავლობაში ჩვენ ვესაუბრეთ ათობით ადამიანს, გუნდს და პროექტს NFT სივრცეში. https://t.co/fB5r3cMA1r
- დევინ ფინზერი (dfinzer.eth) (@dfinzer) თებერვალი 20, 2022
სამ თვეზე ნაკლებ დროში, ბაზარი კვლავ მოხვდა, როდესაც ის იყო უთანხმოების არხი გატეხილია. ჰაკერებმა გამოაქვეყნეს ყალბი YouTube თანამშრომლობის ახალი ამბები, რომელიც მოიცავდა ბმულს ფიშინგის საიტზე.
ჰაკერების ზემოქმედებამ აიძულა OpenSea-ს გადაედგა კონკრეტული ნაბიჯები მომხმარებლების დასაცავად. გასულ თვეში მან შემოიტანა ა საშეღავათო პერიოდი სამი საათის განმავლობაში, რომლის დროსაც გამყიდველებს შეეზღუდებათ შეთავაზებების მიღება სავარაუდო გაყიდვის შემდეგ.
სავაჭრო აქტივობა იკლებს
იმავდროულად, OpenSea-მ თებერვლის შუა რიცხვებიდან პლატფორმაზე სავაჭრო აქტივობის მნიშვნელოვანი დაცემა დაინახა. ყოველკვირეული NFT ვაჭრობა დაეცა 40%-ით პრესის დრომდე, Token Terminal-ის მონაცემების მიხედვით.
ამის შედეგად შემცირდა შემქმნელებისთვის გადახდილი ჰონორარიც. ყოველკვირეული მიწოდების საკომისიო დაეცა 40%-ით წერის დროს, რამაც შესაძლოა დაინტერესებულ შემქმნელებს ხელი შეუშალოს თავიანთი ნამუშევრების ბაზარზე ჩამოთვლაში.
წყარო: ჟეტონის ტერმინალი
OpenSea იყო მძიმე დარტყმის გამო დაბინდვა [BLUR] ქარიშხალი, რომელმაც მოიცვა NFT ბაზრის ეკოსისტემა. Dune Analytics-ის მონაცემებით, OpenSea-ს წილი მთლიან სავაჭრო მოცულობაში ყველა ბაზარზე 26%-მდე შემცირდა.
თუმცა, მან მაინც მოახერხა მომხმარებელთა ბაზის მნიშვნელოვანი ნაწილისა და გაყიდვების მთლიანი რაოდენობის შენარჩუნება, შესაბამისად 62.8% და 51% დომინირებით.
წყარო: Dune Analytics
წყარო: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/