Nonfungible token (NFT) marktplaats OpenSea heeft naar verluidt een kwetsbaarheid gepatcht die, indien misbruikt, identificerende informatie over zijn anonieme gebruikers zou kunnen onthullen.
In een 9 maart blog, legde cyberbeveiligingsbedrijf Imperva uit hoe het ontdekte de kwetsbaarheid waarvan het beweerde dat het OpenSea-gebruikers kon deanonimiseren "door onder bepaalde voorwaarden een IP-adres, een browsersessie of een e-mail te koppelen" aan een NFT.
Omdat de NFT overeenkomt met het adres van een cryptocurrency-portemonnee, kan de echte identiteit van een gebruiker worden onthuld uit de verzamelde informatie en gekoppeld aan de portemonnee en zijn activiteit, legt Imperva uit.
Imperva Red Team ontdekte een cross-site zoekkwetsbaarheid die de #NFT markt #Open zee.
Deze kwetsbaarheid maakt het deanonimiseren van gebruikers mogelijk, waardoor mogelijk de identiteit van een gebruiker wordt onthuld. https://t.co/nGQWceeGEc
— Imperva (@Imperva) 9 maart 2023
De exploit zou misbruik hebben gemaakt van een cross-site search-kwetsbaarheid. Imperva beweerde dat OpenSea een bibliotheek verkeerd had geconfigureerd die het formaat van webpagina-elementen aanpast die HTML-inhoud van elders laden die doorgaans wordt gebruikt om advertenties, interactieve inhoud of ingesloten video's te plaatsen.
Omdat OpenSea de communicatie van deze bibliotheek niet beperkte, konden uitbuiters de informatie die het uitzendt gebruiken als een "orakel" om te beperken wanneer zoekopdrachten geen resultaten opleveren, omdat de webpagina dan kleiner zou zijn.
Imperva legde uit dat een aanvaller dat zou doen hun doelwit een link sturen via e-mail of sms die, als erop wordt geklikt, "waardevolle informatie onthult, zoals het IP-adres van het doelwit, user-agent, apparaatdetails en softwareversies."
De aanvaller zou dan de kwetsbaarheid van OpenSea gebruiken om de NFT-namen van hun doelwit te extraheren en het bijbehorende portemonnee-adres te koppelen aan identificerende informatie, zoals een e-mailadres of telefoonnummer waarnaar de oorspronkelijke link was verzonden.
Imperva zei dat OpenSea "het probleem snel heeft aangepakt" en de communicatie van de bibliotheek correct heeft beperkt en meldde dat het platform "niet langer het risico liep van dergelijke aanvallen".
Zie ook: Beveiligingsteam maakt dashboard om potentiële NFT-hacks in OpenSea te detecteren
Gebruikers van het platform zijn al lang het slachtoffer van aanvallen die OpenSea-functies nabootsen om exploits uit te voeren, zoals phishing-websites die lijken op het platform of handtekeningverzoeken verschijnen afkomstig zijn van OpenSea.
OpenSea zelf kritiek heeft gekregen voor zijn platformbeveiliging vanwege een grote phishing-aanval in februari 2022 resulteerde dit in de diefstal van NFT's ter waarde van meer dan $ 1.7 miljoen van gebruikers.
Wat de recente patch betreft, het is niet bekend hoe lang deze bestond en of er gebruikers zijn getroffen door de exploit.
OpenSea reageerde niet onmiddellijk op het verzoek van Cointelegraph om commentaar.
Bron: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities