- OpenSea の抜け穴の悪用に成功すると、攻撃者はユーザーの ID を取得できた可能性があります。
- OpenSea は、脆弱性が表面化した後、すぐに問題を修正しました。
サイバーセキュリティ会社 Imperva社 人気の NFT マーケットプレイスで重大な脆弱性を検出 公海の悪用に成功すると、攻撃者はプラットフォーム上のユーザーの ID を取得できる可能性があります。
Imperva によると、OpenSea で使用される iFrame-resizer ライブラリの設定ミスが、脆弱性の主な原因でした。
Imperva は、この問題の悪用メカニズムについて詳しく説明し、攻撃者は電子メールまたは SMS でリンクを送信すると述べました。
被害者がリンクをクリックすると、ターゲットの IP アドレス、ユーザー エージェント、デバイスの詳細、ソフトウェア バージョンなどの重要な情報が取得されます。
次に、クロスサイト検索の脆弱性を悪用してターゲットの NFT 名を取得し、攻撃者は漏洩した NFT/パブリック ウォレット アドレスを、リンクが最初に送信された電子メールまたは電話番号に関連付けます。
しかし、Imperva の報告によると、OpenSea は報告後に問題を修正しており、市場はもはやそのような攻撃の危険にさらされていません。
汚れた過去
OpenSea はこれまで、プラットフォームのセキュリティに関して深刻な懸念に直面してきました。 2022 年 XNUMX 月には、NFT エコシステムで最大のハッキングの中心にありました。
エクスプロイト中に、1.7 万ドル相当の NFT がユーザーのウォレットから盗まれました。 この違反は、OpenSea の CEO である Devin Finzer によって認められました。
もう XNUMX つの更新情報: 過去数時間にわたって、NFT スペース全体で数十人、チーム、およびプロジェクトと話をしてきました。 https://t.co/fB5r3cMA1r
— Devin Finzer(dfinzer.eth)(@ dfinzer) 2022 年 2 月 20 日
XNUMX か月も経たないうちに、市場は再び打撃を受けました。 Discord チャンネルが侵害されました. ハッカーは、フィッシング サイトへのリンクを含む偽の YouTube コラボレーション ニュースを投稿しました。
ハッキングの影響により、OpenSea はユーザーを保護するためにいくつかの具体的な措置を講じました。 先月、導入した、 猶予期間 売り手が想定された販売後にオファーを受け入れることができなくなるまでの XNUMX 時間。
取引活動の低下
一方、OpenSea では、40 月中旬以降、プラットフォームでの取引活動が大幅に減少しました。 Token Terminal のデータによると、毎週の NFT 取引は、プレス時間までに XNUMX% 急落しました。
この結果、クリエイターに支払われるロイヤリティも減少しました。 毎週の供給側の手数料は執筆時点で 40% 急落しており、関心のあるクリエイターが自分の作品を市場に出品するのを思いとどまらせる可能性があります。
OpenSea は大打撃を受けました。 ぼかし [ぼかし] NFT マーケットプレイスのエコシステムを席巻した嵐。 Dune Analytics のデータによると、すべてのマーケットプレイスの総取引量における OpenSea のシェアは 26% に減少しました。
ただし、ユーザーベースと総販売数のかなりの部分を維持することができ、それぞれ 62.8% と 51% を占めています。
ソース: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/