Il mercato NFT OpenSea ha recentemente affrontato una vulnerabilità nel loro codice che potrebbe essere sfruttata per far trapelare i dati degli utenti.
Imperva rileva la vulnerabilità di OpenSea
Il 9 marzo, la società di sicurezza informatica Imperva ha segnalato una vulnerabilità nel OpenSea piattaforma. L'azienda ha pubblicato un post sul blog che descrive in dettaglio le sue scoperte e ha affermato che la vulnerabilità poneva gravi minacce alla sicurezza dei dati degli utenti. Gli attori malintenzionati potrebbero sfruttare il bug per scoprire informazioni personali sugli utenti, come i loro numeri di telefono e ID e-mail.
La squadra ha twittato,
"Imperva Red Team ha scoperto una vulnerabilità di ricerca cross-site che colpisce il mercato NFT OpenSea."
Questa vulnerabilità consente la deanonimizzazione degli utenti, rivelando potenzialmente l'identità di un utente.
Secondo il rapporto, gli utenti anonimi di OpenSea potrebbero essere svelati manipolando questo bug e collegando un indirizzo IP, una sessione del browser o persino un'e-mail a un NFT. Di conseguenza, gli acquirenti anonimi possono rischiare che la loro identità sia esposta se l'indirizzo del portafoglio crittografico corrispondente viene rivelato in relazione alle informazioni raccolte dall'indirizzo identificativo.
Causa principale: configurazione errata della libreria
Il rapporto analizza ulteriormente la causa principale della questione, identificando l'errata configurazione della libreria iFrame-resizer utilizzata dal Piattaforma NFT, che ha causato la vulnerabilità della ricerca su più siti. Ciò significa che la piattaforma aveva configurato in modo errato una libreria che ridimensiona gli elementi della pagina Web caricando il contenuto HTML da altrove.
Questa funzione viene utilizzata per inserire annunci, contenuti interattivi o video incorporati. Poiché la piattaforma OpenSea non aveva limitato le comunicazioni di questa biblioteca, sarebbe stato facile per gli hacker e altri malintenzionati manipolare le informazioni trasmesse e utilizzarle come un "oracolo" per individuare gli obiettivi.
Potrebbero quindi inviare al bersaglio un collegamento tramite e-mail o SMS. Se il target fa clic sul collegamento, verranno rivelate le sue informazioni personali, inclusi indirizzo IP, user agent, dettagli del dispositivo e versioni del software. L'indirizzo e-mail e il numero di telefono avrebbero potuto fungere da mercati identificativi per consentire all'attaccante di accedere ai nomi degli NFT collegati al bersaglio e al corrispondente indirizzo del portafoglio.
I problemi di sicurezza di OpenSea
Secondo quanto riferito, il team di OpenSea ha risolto il problema rilasciando rapidamente una patch per correggere la vulnerabilità. Il team di Imperva ha confermato che questa patch limita la comunicazione tra le origini e impedirà lo sfruttamento futuro, affrontando così con successo la minaccia.
Tuttavia, questa non è la prima minaccia alla sicurezza affrontata da OpenSea. A settembre 2021, la piattaforma ha riscontrato un bug che ha provocato il cancellazione di NFT del valore di 28.44 ETH o $ 100,000. Avanti un anno dopo, nel febbraio 2022, OpenSea è stata presa di mira da un hacker che ne aveva rubati diversi NFT di alto valore dagli utenti della piattaforma.
Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability