- Als de maas in OpenSea met succes werd uitgebuit, had de aanvaller de identiteit van gebruikers kunnen achterhalen.
- OpenSea loste het probleem snel op nadat de kwetsbaarheid aan het licht kwam.
Cyberbeveiligingsbedrijf Imperva ontdekte een grote kwetsbaarheid op de populaire NFT-marktplaats Open zee, die bij succesvol misbruik de aanvaller in staat zou kunnen stellen de identiteit van gebruikers op het platform te achterhalen.
Volgens Imperva was de verkeerde configuratie van de iFrame-resizer-bibliotheek die door OpenSea wordt gebruikt de belangrijkste reden voor de kwetsbaarheid.
Imperva gaf meer details over het exploitatiemechanisme voor het probleem en verklaarde dat de aanvaller een link zou sturen via e-mail of sms.
Als het slachtoffer op de link klikt, wordt vitale informatie zoals het IP-adres van het doelwit, de user-agent, apparaatgegevens en softwareversies opgehaald.
Cross-site search-kwetsbaarheid zou dan worden misbruikt om de NFT-namen van het doelwit te achterhalen en de aanvaller zou vervolgens het gelekte NFT-/openbare portemonnee-adres associëren met het e-mailadres of telefoonnummer waarnaar de link in eerste instantie was verzonden.
In het rapport van Imperva stond echter dat OpenSea het probleem had opgelost nadat het was gemeld en dat de markt niet langer het risico liep van dergelijke aanvallen.
Bezoedeld verleden
OpenSea heeft in het verleden te maken gehad met ernstige zorgen over de veiligheid van het platform. In februari 2022 stond het centraal in een van de grootste hacks in het NFT-ecosysteem.
Tijdens de exploit werd voor $ 1.7 miljoen aan NFT's gestolen uit de portemonnee van gebruikers. De inbreuk werd erkend door de CEO van OpenSea, Devin Finzer.
Nog een update: de afgelopen uren hebben we met tientallen mensen, teams en projecten in de NFT-ruimte gesproken. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) 20 februari 2022
In minder dan drie maanden tijd werd de markt opnieuw geraakt toen zijn Discord-kanaal is gecompromitteerd. De hackers plaatsten een nep YouTube-samenwerkingsnieuws met een link naar een phishing-site.
De impact van de hacks zorgde ervoor dat OpenSea enkele concrete stappen ondernam om zijn gebruikers te beschermen. Vorige maand introduceerde het een respijtperiode van drie uur waarin verkopers na een veronderstelde verkoop geen aanbiedingen kunnen accepteren.
Handelsactiviteit neemt af
Ondertussen zag OpenSea sinds medio februari een aanzienlijke dip in de handelsactiviteit op het platform. De wekelijkse NFT-handel daalde met 40% tot het moment van schrijven, volgens gegevens van Token Terminal.
Als gevolg hiervan daalden ook de royalty's die aan makers werden betaald. De wekelijkse vergoedingen aan de aanbodzijde daalden met 40% op het moment van schrijven, wat geïnteresseerde makers ervan zou kunnen weerhouden hun werk op de markt te plaatsen.
Bron: Token Terminal
OpenSea was zwaar getroffen door de Vervagen [BLUR] storm die het ecosysteem van de NFT-marktplaats overspoelde. Volgens gegevens van Dune Analytics is het aandeel van OpenSea in het totale handelsvolume op alle marktplaatsen teruggebracht tot 26%.
Het slaagde er echter nog steeds in een aanzienlijk deel van het gebruikersbestand en het totale aantal verkopen vast te houden, met een dominantie van respectievelijk 62.8% en 51%.
Bron: Dune Analytics
Bron: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/