- La scappatoia su OpenSea, se sfruttata con successo, avrebbe potuto consentire all'attaccante di ottenere le identità degli utenti.
- OpenSea ha risolto rapidamente il problema dopo che la vulnerabilità è emersa.
Società di sicurezza informatica Imperva ha rilevato una grave vulnerabilità sul popolare mercato NFT OpenSea, che, se sfruttato con successo, potrebbe consentire all'attaccante di ottenere le identità degli utenti sulla piattaforma.
Secondo Imperva, la configurazione errata della libreria iFrame-resizer utilizzata da OpenSea è stata la ragione principale alla base della vulnerabilità.
Fornendo maggiori dettagli sul meccanismo di sfruttamento del problema, Imperva ha dichiarato che l'attaccante avrebbe inviato un collegamento tramite e-mail o SMS.
Se la vittima fa clic sul collegamento, verranno recuperate informazioni vitali come l'indirizzo IP del bersaglio, l'agente utente, i dettagli del dispositivo e le versioni del software.
La vulnerabilità della ricerca cross-site verrebbe quindi sfruttata per ottenere i nomi NFT del bersaglio e l'attaccante assocerebbe quindi l'indirizzo NFT/portafoglio pubblico trapelato con l'e-mail o il numero di telefono a cui è stato inizialmente inviato il collegamento.
Tuttavia, il rapporto di Imperva affermava che OpenSea aveva risolto il problema dopo che era stato segnalato e che il mercato non era più a rischio di tali attacchi
Passato contaminato
OpenSea ha affrontato serie preoccupazioni sulla sicurezza della piattaforma in passato. Nel febbraio 2022, è stato al centro di uno dei più grandi attacchi nell'ecosistema NFT.
Durante l'exploit, dai portafogli degli utenti sono stati rubati NFT per un valore di 1.7 milioni di dollari. La violazione è stata riconosciuta dal CEO di OpenSea Devin Finzer.
Un altro aggiornamento: nelle ultime ore abbiamo parlato con dozzine di persone, team e progetti nello spazio NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) 20 Febbraio 2022
In meno di tre mesi, il mercato è stato colpito di nuovo quando il suo il canale discord è stato compromesso. Gli hacker hanno pubblicato una falsa notizia sulla collaborazione di YouTube che includeva un collegamento a un sito di phishing.
L'impatto degli hack ha spinto OpenSea a compiere alcuni passi concreti per salvaguardare i propri utenti. Il mese scorso, ha introdotto a periodo di grazia di tre ore durante le quali sarà impedito ai venditori di accettare offerte dopo una presunta vendita.
L'attività di trading diminuisce
Nel frattempo, OpenSea ha visto un calo significativo dell'attività di trading sulla piattaforma da metà febbraio. Il trading settimanale di NFT è crollato del 40% fino al momento della stampa, secondo i dati di Token Terminal.
Di conseguenza, anche le royalties pagate ai creatori sono diminuite. Le commissioni settimanali sul lato dell'offerta sono crollate del 40% al momento in cui scriviamo, il che potrebbe dissuadere i creatori interessati dall'inserire il loro lavoro sul mercato.
Fonte: Token Terminal
OpenSea è stata colpita duramente a causa del Sfocatura [BLUR] tempesta che ha travolto l'ecosistema del mercato NFT. Secondo i dati di Dune Analytics, la quota di OpenSea nel volume totale degli scambi su tutti i mercati è stata ridotta al 26%.
Tuttavia, è comunque riuscito a mantenere una parte significativa della base di utenti e il numero totale di vendite, con una posizione dominante rispettivamente del 62.8% e del 51%.
Fonte: Dune Analytics
Fonte: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/