ตลาดซื้อขายโทเค็นที่ไม่สามารถใช้งานร่วมกันได้ (NFT) OpenSea ได้รายงานแพตช์ช่องโหว่ที่หากถูกโจมตี อาจเปิดเผยข้อมูลที่ระบุตัวตนของผู้ใช้ที่ไม่ระบุชื่อได้
ในวันที่ 9 มีนาคม บล็อกบริษัทด้านความปลอดภัยทางไซเบอร์ Imperva ให้รายละเอียดว่ามันเป็นอย่างไร ค้นพบช่องโหว่ ซึ่งอ้างว่าสามารถยกเลิกการระบุชื่อผู้ใช้ OpenSea “โดยการเชื่อมโยงที่อยู่ IP, เซสชันเบราว์เซอร์ หรืออีเมลในเงื่อนไขบางประการ” กับ NFT
เนื่องจาก NFT สอดคล้องกับที่อยู่กระเป๋าเงินดิจิตอล ตัวตนที่แท้จริงของผู้ใช้อาจถูกเปิดเผยจากข้อมูลที่รวบรวมและเชื่อมโยงกับกระเป๋าเงินและกิจกรรมของมัน Imperva อธิบาย
Imperva Red Team ค้นพบช่องโหว่การค้นหาข้ามไซต์ที่ส่งผลกระทบต่อ #เอ็นเอฟที ตลาด #ทะเลเปิด.
ช่องโหว่นี้ทำให้สามารถ deanonymization ของผู้ใช้ ซึ่งอาจเป็นการเปิดเผยตัวตนของผู้ใช้ https://t.co/nGQWceeGEc
— อิมเพอร์วา (@Imperva) March 9, 2023
เป็นที่เข้าใจว่าการหาประโยชน์ใช้ประโยชน์จากช่องโหว่การค้นหาข้ามไซต์ Imperva อ้างว่า OpenSea กำหนดค่าไลบรารีไม่ถูกต้องซึ่งปรับขนาดองค์ประกอบหน้าเว็บที่โหลดเนื้อหา HTML จากที่อื่น ซึ่งโดยปกติจะใช้เพื่อวางโฆษณา เนื้อหาแบบโต้ตอบ หรือวิดีโอแบบฝัง
เนื่องจาก OpenSea ไม่ได้จำกัดการสื่อสารของไลบรารีนี้ ผู้โจมตีจึงสามารถใช้ข้อมูลที่เผยแพร่เป็น "ออราเคิล" เพื่อจำกัดขอบเขตเมื่อการค้นหาไม่แสดงผลลัพธ์ เนื่องจากหน้าเว็บจะมีขนาดเล็กลง
Imperva ให้รายละเอียดว่าผู้โจมตีจะทำ ส่งลิงก์ไปยังเป้าหมาย ผ่านทางอีเมลหรือ SMS ซึ่งถ้าคลิก "เปิดเผยข้อมูลที่มีค่า เช่น ที่อยู่ IP ของเป้าหมาย ตัวแทนผู้ใช้ รายละเอียดอุปกรณ์ และเวอร์ชันของซอฟต์แวร์"
จากนั้นผู้โจมตีจะใช้ช่องโหว่ของ OpenSea เพื่อแยกชื่อ NFT ของเป้าหมายและเชื่อมโยงที่อยู่กระเป๋าเงินที่เกี่ยวข้องกับข้อมูลระบุตัวตน เช่น อีเมลหรือหมายเลขโทรศัพท์ที่ส่งลิงก์ต้นฉบับ
Imperva กล่าวว่า OpenSea “แก้ไขปัญหาได้อย่างรวดเร็ว” และจำกัดการสื่อสารของห้องสมุดอย่างเหมาะสม และรายงานว่าแพลตฟอร์ม “ไม่เสี่ยงต่อการถูกโจมตีดังกล่าวอีกต่อไป”
ที่เกี่ยวข้อง ทีมรักษาความปลอดภัยสร้างแดชบอร์ดเพื่อตรวจจับการแฮ็ก NFT ที่อาจเกิดขึ้นใน OpenSea
ผู้ใช้แพลตฟอร์มตกเป็นเหยื่อของการโจมตีที่เลียนแบบการทำงานของ OpenSea มานานแล้ว เช่น เว็บไซต์ฟิชชิงที่มีลักษณะคล้ายกับแพลตฟอร์มหรือ คำขอลายเซ็นปรากฏขึ้น ที่มาจาก OpenSea
โอเพ่นซีนั่นเอง ต้องเผชิญกับเสียงวิพากษ์วิจารณ์ สำหรับความปลอดภัยของแพลตฟอร์มเนื่องจาก การโจมตีแบบฟิชชิ่งที่สำคัญ ในเดือนกุมภาพันธ์ 2022 ส่งผลให้ NFT มูลค่ากว่า 1.7 ล้านดอลลาร์ถูกขโมยจากผู้ใช้
สำหรับแพตช์ล่าสุดนั้น ยังไม่ทราบว่ามีมานานเท่าใดแล้ว หรือมีผู้ใช้รายใดได้รับผลกระทบจากช่องโหว่นี้หรือไม่
OpenSea ไม่ตอบสนองต่อคำร้องขอความคิดเห็นของ Cointelegraph ในทันที
ที่มา: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities