Nonfungible Token (NFT) マーケットプレイスである OpenSea は、脆弱性にパッチを適用したと報告されており、悪用された場合、匿名ユーザーに関する識別情報が公開される可能性があります。
9月XNUMX日 ブログ、サイバーセキュリティ会社 Imperva がその方法を詳しく説明 脆弱性を発見した それは、「特定の条件下で IP アドレス、ブラウザ セッション、または電子メールを NFT にリンクすることによって」OpenSea ユーザーの匿名化を解除できると主張していました。
NFT は仮想通貨のウォレット アドレスに対応しているため、ユーザーの本当の身元は、収集され、ウォレットとそのアクティビティに関連付けられた情報から明らかになる可能性がある、と Imperva は説明しています。
Imperva Red Team は、クロスサイト検索の脆弱性を発見しました。 #NFT 市場 #公海.
この脆弱性により、ユーザーの匿名化が可能になり、ユーザーの身元が明らかになる可能性があります。 https://t.co/nGQWceeGEc
— インペルバ (@Imperva) 2023 年 3 月 9 日
このエクスプロイトは、クロスサイト検索の脆弱性を利用していると理解されています。 Imperva は、通常、広告、インタラクティブ コンテンツ、または埋め込みビデオを配置するために使用される HTML コンテンツを別の場所からロードする Web ページ要素のサイズを変更するライブラリを、OpenSea が誤って構成したと主張しました。
OpenSea はこのライブラリの通信を制限しなかったため、悪用者は Web ページが小さくなるため検索結果が返されない場合に絞り込むための「オラクル」としてブロードキャストする情報を使用できました。
Imperva は、攻撃者が ターゲットにリンクを送る クリックすると、「ターゲットの IP アドレス、ユーザー エージェント、デバイスの詳細、ソフトウェア バージョンなどの貴重な情報が明らかになります」。
次に、攻撃者は OpenSea の脆弱性を利用してターゲットの NFT 名を抽出し、対応するウォレット アドレスを、元のリンクで送信された電子メールや電話番号などの識別情報に関連付けます。
Imperva は、OpenSea が「問題に迅速に対処し」、ライブラリの通信を適切に制限し、プラットフォームが「そのような攻撃の危険にさらされなくなった」と報告したと述べました。
関連する セキュリティ チームは、OpenSea での潜在的な NFT ハッキングを検出するダッシュボードを作成します
プラットフォームのユーザーは、OpenSea の機能を模倣してエクスプロイトを実行する攻撃の被害者でした。 署名依頼が表示される OpenSea に由来します。
OpenSea自体 批判に直面している プラットフォームのセキュリティのために 大規模なフィッシング攻撃 2022 年 1.7 月には、XNUMX 万ドル以上の価値のある NFT がユーザーから盗まれました。
最近のパッチに関しては、それがどのくらいの期間存在していたのか、またはエクスプロイトの影響を受けたユーザーがいたかどうかは不明です.
OpenSeaは、Cointelegraphのコメント要求にすぐには応答しませんでした。
ソース: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities