OpenSea Patches Potentieel Ernstige Kwetsbaarheid

NFT-marktplaats OpenSea heeft onlangs een kwetsbaarheid in hun code aangepakt die kon worden misbruikt om gebruikersgegevens te lekken. 

Imperva detecteert OpenSea-kwetsbaarheid

Op 9 maart wees cyberbeveiligingsbedrijf Imperva op een kwetsbaarheid in de Open zee platform. Het bedrijf publiceerde een blogpost waarin zijn bevindingen werden beschreven en beweerde dat de kwetsbaarheid een ernstige bedreiging vormde voor de beveiliging van gebruikersgegevens. Kwaadwillende actoren kunnen de bug misbruiken om persoonlijke informatie over gebruikers te achterhalen, zoals hun telefoonnummers en e-mail-ID's. 

Het team tweette, 

"Imperva Red Team ontdekte een cross-site zoekkwetsbaarheid die de NFT-marktplaats OpenSea aantast."

Deze kwetsbaarheid maakt het deanonimiseren van gebruikers mogelijk, waardoor mogelijk de identiteit van een gebruiker wordt onthuld.

Volgens het rapport kunnen anonieme OpenSea-gebruikers worden onthuld door deze bug te manipuleren en een IP-adres, een browsersessie of zelfs een e-mail aan een NFT te koppelen. Als gevolg hiervan kunnen anonieme kopers het risico lopen dat hun identiteit wordt onthuld als het corresponderende adres van de crypto-portemonnee wordt onthuld in verband met de informatie die is verzameld van het identificerende adres. 

Hoofdoorzaak - Verkeerde configuratie van de bibliotheek

Het rapport analyseert verder de oorzaak van de kwestie en identificeert de verkeerde configuratie van de iFrame-resizer-bibliotheek die door de NFT-platform, die de cross-site search-kwetsbaarheid veroorzaakte. Dit betekent dat het platform een ​​bibliotheek verkeerd had geconfigureerd die het formaat van webpagina-elementen wijzigt die HTML-inhoud van elders laden. 

Deze functie wordt gebruikt om advertenties, interactieve inhoud of ingesloten video's te plaatsen. Aangezien het OpenSea-platform de communicatie van deze bibliotheek niet had beperkt, zou het voor hackers en andere kwaadwillende actoren gemakkelijk zijn om de uitgezonden informatie te manipuleren en als een "orakel" te gebruiken om doelen te lokaliseren. 

Vervolgens kunnen ze het doelwit een link sturen via e-mail of sms. Als het doelwit op de link klikt, worden hun persoonlijke gegevens, waaronder hun IP-adres, user-agent, apparaatgegevens en softwareversies, onthuld. Het e-mailadres en telefoonnummer hadden kunnen fungeren als identificerende markten om de aanvaller toegang te geven tot de namen van de NFT's die zijn verbonden met het doelwit en hun bijbehorende portemonnee-adres. 

OpenSea's veiligheidszorgen

Naar verluidt heeft het OpenSea-team het probleem verholpen door snel een patch uit te brengen om de kwetsbaarheid te verhelpen. Het Imperva-team bevestigde dat deze patch cross-origin-communicatie beperkt en toekomstige uitbuiting zal voorkomen, waardoor de dreiging met succes wordt aangepakt. 

Dit is echter niet de eerste beveiligingsdreiging waarmee OpenSea wordt geconfronteerd. In september 2021 ondervond het platform een ​​bug die resulteerde in de verwijdering van NFT's ter waarde van 28.44 ETH of $100,000. Een jaar later, in februari 2022, werd OpenSea het doelwit van een hacker die er meerdere had gestolen hoogwaardige NFT's van de gebruikers van het platform. 

Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.