NFT マーケットプレイスの OpenSea は最近、ユーザー データの漏洩に悪用される可能性のあるコードの脆弱性に対処しました。
Imperva が OpenSea の脆弱性を検出
9 月 XNUMX 日、サイバーセキュリティ企業 Imperva は、 公海 プラットホーム。 同社は調査結果を詳述したブログ投稿を公開し、脆弱性がユーザー データに重大なセキュリティ上の脅威をもたらすと主張しました。 悪意のある攻撃者がこのバグを悪用して、電話番号や電子メール ID などのユーザーに関する個人情報を明らかにする可能性があります。
チームは次のようにツイートした。
「Imperva Red Team は、NFT マーケットプレイス OpenSea に影響を与えるクロスサイト検索の脆弱性を発見しました。」
この脆弱性により、ユーザーの匿名化が可能になり、ユーザーの身元が明らかになる可能性があります。
レポートによると、匿名の OpenSea ユーザーは、このバグを操作し、IP アドレス、ブラウザー セッション、さらには電子メールを NFT にリンクすることで明らかになる可能性があります。 その結果、匿名の購入者は、識別アドレスから収集された情報に関連して、対応するクリプト ウォレット アドレスが明らかになった場合、身元が公開される危険性があります。
根本原因 – ライブラリの構成ミス
このレポートでは、問題の根本原因をさらに分析し、 NFTプラットフォーム、クロスサイト検索の脆弱性を引き起こしました。 これは、プラットフォームが、他の場所から HTML コンテンツをロードする Web ページ要素のサイズを変更するライブラリを誤って構成したことを意味します。
この機能は、広告、インタラクティブ コンテンツ、または埋め込みビデオを配置するために使用されます。 OpenSea プラットフォームはこのライブラリの通信を制限していなかったため、ハッカーやその他の悪意のあるアクターがブロードキャストされた情報を操作し、ターゲットを特定するための「オラクル」として使用することは容易でした.
次に、電子メールまたは SMS でターゲットにリンクを送信できます。 ターゲットがリンクをクリックすると、IP アドレス、ユーザー エージェント、デバイスの詳細、ソフトウェア バージョンなどの個人情報が明らかになります。 電子メール アドレスと電話番号は、攻撃者がターゲットに接続された NFT の名前とそれに対応するウォレット アドレスにアクセスできるようにする識別市場として機能する可能性があります。
OpenSea のセキュリティ上の懸念
伝えられるところによると、OpenSea チームは、脆弱性を修正するパッチを迅速にリリースすることで、この問題に対処しました。 Imperva チームは、このパッチがクロスオリジン通信を制限し、将来の悪用を防ぎ、脅威にうまく対処することを確認しました。
ただし、OpenSea が直面するセキュリティ上の脅威はこれが初めてではありません。 2021 年 XNUMX 月、プラットフォームにバグが発生し、 NFTの削除 28.44 ETH または $100,000 の価値があります。 その 2022 年後の XNUMX 年 XNUMX 月、OpenSea はハッカーの標的になりました。 高価値のNFT プラットフォームのユーザーから。
免責事項:この記事は情報提供のみを目的として提供されています。 法律、税務、投資、財務、またはその他のアドバイスとして提供または使用することを意図したものではありません。
ソース: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability