OpenSea პატჩებს პოტენციურად სერიოზულ დაუცველობას

NFT ბაზარმა OpenSea-მ ახლახან მიმართა დაუცველობას მათ კოდში, რომელიც შეიძლება გამოყენებული იქნას მომხმარებლის მონაცემების გაჟონვისთვის. 

Imperva აღმოაჩენს OpenSea დაუცველობას

9 მარტს კიბერუსაფრთხოების ფირმა Imperva-მ მიუთითა დაუცველობაზე OpenSea პლატფორმა. ფირმამ გამოაქვეყნა ბლოგპოსტი, სადაც დეტალურად იყო აღწერილი მისი დასკვნები და განაცხადა, რომ დაუცველობა სერიოზულ საფრთხეს უქმნის მომხმარებლის მონაცემებს. მავნე ფაქტორებს შეუძლიათ გამოიყენონ შეცდომა მომხმარებლების შესახებ პერსონალური ინფორმაციის გამოსავლენად, როგორიცაა მათი ტელეფონის ნომრები და ელფოსტის ID. 

გუნდმა ტვიტერზე დაწერა, 

"Imperva Red Team-მა აღმოაჩინა სხვადასხვა ძიების დაუცველობა, რომელიც გავლენას ახდენს NFT ბაზარზე OpenSea-ზე."

ეს დაუცველობა იძლევა მომხმარებელთა დეანონიმიზაციის საშუალებას, რაც პოტენციურად გამოავლენს მომხმარებლის იდენტურობას.

მოხსენების თანახმად, OpenSea-ს ანონიმური მომხმარებლების გამოვლენა შესაძლებელია ამ შეცდომით მანიპულირებით და IP მისამართის, ბრაუზერის სესიის ან თუნდაც ელფოსტის NFT-თან დაკავშირებით. შედეგად, ანონიმურ მყიდველებს შეუძლიათ რისკავს მათი ვინაობის გამხელა, თუ შესაბამისი კრიპტო საფულის მისამართი გამოვლინდება საიდენტიფიკაციო მისამართიდან შეგროვებულ ინფორმაციასთან დაკავშირებით. 

Root-Cause – ბიბლიოთეკის არასწორი კონფიგურაცია

მოხსენება შემდგომში აანალიზებს საკითხის ძირეულ მიზეზს, იდენტიფიცირებს iFrame-resizer ბიბლიოთეკის არასწორ კონფიგურაციას, რომელიც გამოიყენება NFT პლატფორმა, რამაც გამოიწვია საიტის ძიების დაუცველობა. ეს ნიშნავს, რომ პლატფორმამ არასწორად მოახდინა ბიბლიოთეკის კონფიგურაცია, რომელიც ზომავს ვებგვერდის ელემენტებს, რომლებიც იტვირთება HTML კონტენტი სხვაგან. 

ეს ფუნქცია გამოიყენება რეკლამების, ინტერაქტიული კონტენტის ან ჩაშენებული ვიდეოების განთავსებისთვის. ვინაიდან OpenSea-ს პლატფორმა არ ზღუდავდა ამ ბიბლიოთეკის კომუნიკაციებს, ჰაკერებისთვის და სხვა მავნე აქტორებისთვის ადვილი იქნებოდა გადაცემული ინფორმაციის მანიპულირება და მისი გამოყენება როგორც „ორაკული“ სამიზნეების დასაზუსტებლად. 

შემდეგ მათ შეეძლოთ მიზანს გაუგზავნონ ბმული ელექტრონული ფოსტის ან SMS-ის საშუალებით. თუ სამიზნე დააჭერს ბმულს, გამოვლინდება მისი პერსონალური ინფორმაცია, მათ შორის IP მისამართი, მომხმარებლის აგენტი, მოწყობილობის დეტალები და პროგრამული უზრუნველყოფის ვერსიები. ელ.ფოსტის მისამართი და ტელეფონის ნომერი შეიძლება მოქმედებდეს, როგორც საიდენტიფიკაციო ბაზრები, რათა თავდამსხმელს მიეცეს წვდომა სამიზნეთან დაკავშირებული NFT-ების სახელებზე და მათ შესაბამის საფულის მისამართებზე. 

OpenSea-ს უსაფრთხოების შეშფოთება

გავრცელებული ინფორმაციით, OpenSea-ის გუნდმა მოაგვარა ეს საკითხი დაუცველობის გამოსასწორებლად პატჩის სწრაფად გამოქვეყნებით. Imperva-ს გუნდმა დაადასტურა, რომ ეს პაჩი ზღუდავს ჯვარედინი წარმოშობის კომუნიკაციას და ხელს შეუშლის სამომავლო ექსპლუატაციას, რითაც წარმატებით გაუმკლავდება საფრთხეს. 

თუმცა, ეს არ არის პირველი უსაფრთხოების საფრთხე, რომელსაც აწყდება OpenSea. 2021 წლის სექტემბერში პლატფორმას შეექმნა შეცდომა, რამაც გამოიწვია NFT-ების წაშლა ღირებულების 28.44 ETH ან $100,000. ერთი წლის შემდეგ, 2022 წლის თებერვალში, OpenSea იყო სამიზნე ჰაკერის მიერ, რომელმაც მოიპარა რამდენიმე მაღალი ღირებულების NFT-ები პლატფორმის მომხმარებლებისგან. 

უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.