Secondo quanto riferito, il mercato dei token non fungibili (NFT) OpenSea ha corretto una vulnerabilità che, se sfruttata, potrebbe esporre informazioni identificative sui suoi utenti anonimi.
In un 9 marzo blog, la società di sicurezza informatica Imperva ha spiegato in dettaglio come scoperto la vulnerabilità che ha affermato potrebbe rendere anonimi gli utenti OpenSea "collegando un indirizzo IP, una sessione del browser o un'e-mail in determinate condizioni" a un NFT.
Poiché l'NFT corrisponde a un indirizzo di portafoglio di criptovaluta, la vera identità di un utente potrebbe essere rivelata dalle informazioni raccolte e collegate al portafoglio e alla sua attività, ha spiegato Imperva.
Imperva Red Team ha scoperto una vulnerabilità di ricerca cross-site che interessa il #NFT mercato #Mare aperto.
Questa vulnerabilità consente la deanonimizzazione degli utenti, rivelando potenzialmente l'identità di un utente. https://t.co/nGQWceeGEc
—Imperva (@Imperva) 9 Marzo 2023
Si ritiene che l'exploit abbia sfruttato una vulnerabilità di ricerca tra siti. Imperva ha affermato che OpenSea aveva configurato in modo errato una libreria che ridimensiona gli elementi della pagina Web che caricano contenuti HTML da altrove che vengono generalmente utilizzati per inserire annunci, contenuti interattivi o video incorporati.
Poiché OpenSea non ha limitato le comunicazioni di questa biblioteca, gli sfruttatori potrebbero utilizzare le informazioni che trasmette come un "oracolo" per restringere il campo quando le ricerche non restituiscono risultati poiché la pagina web sarebbe più piccola.
Imperva ha spiegato che un attaccante lo farebbe invia al loro target un link tramite e-mail o SMS che, se cliccati, "rivelano informazioni preziose, come l'indirizzo IP del bersaglio, l'agente utente, i dettagli del dispositivo e le versioni del software".
L'attaccante utilizzerebbe quindi la vulnerabilità di OpenSea per estrarre i nomi NFT del proprio obiettivo e associare l'indirizzo del portafoglio corrispondente a informazioni identificative come un'e-mail o un numero di telefono a cui è stato inviato il collegamento originale.
Imperva ha affermato che OpenSea "ha risolto rapidamente il problema" e ha limitato adeguatamente le comunicazioni della biblioteca e ha riferito che la piattaforma "non era più a rischio di tali attacchi".
Correlato: Il team di sicurezza crea una dashboard per rilevare potenziali attacchi NFT in OpenSea
Gli utenti della piattaforma sono stati a lungo vittime di attacchi che imitano le funzioni di OpenSea per intraprendere exploit, come siti Web di phishing che assomigliano alla piattaforma o richieste di firma che appaiono provenire da OpenSea.
OpenSea stesso ha affrontato critiche per la sicurezza della sua piattaforma grazie a a grave attacco di phishing nel febbraio 2022, ciò ha comportato il furto di oltre 1.7 milioni di dollari di NFT agli utenti.
Per quanto riguarda la recente patch, non si sa per quanto tempo sia esistita o se qualche utente fosse stato colpito dall'exploit.
OpenSea non ha risposto immediatamente alla richiesta di commento di Cointelegraph.
Fonte: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities