اخبار ارز دیجیتال

OpenSea آسیب پذیری هایی را اصلاح می کند که می تواند هویت کاربران را فاش کند


به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

شرکت امنیت سایبری Imperva یک آسیب پذیری کشف کرده است که می تواند برای افشای اطلاعات کاربران مانند آدرس ایمیل و شماره تلفن استفاده شود. الان وصله شده

گزارش شده است که OpenSea، یک بازار توکن غیرقابل تعویض (NFT)، آسیب‌پذیری را اصلاح کرده است که در صورت بهره‌برداری، می‌تواند اطلاعات شناسایی کاربران ناشناس را فاش کند.

در وبلاگی در ۹ مارس، شرکت امنیت سایبری Imperva NFT را به آسیب‌پذیری متهم کرد که ادعا می‌کند به کاربران OpenSea اجازه می‌دهد تا «با پیوند دادن آدرس IP، جلسه مرورگر یا ایمیل‌شان تحت شرایط خاص، ناشناس شوند.» من با جزئیات توضیح دادم که چگونه پیدا کردم. آی تی.

Imperva توضیح می دهد که از آنجایی که NFT ها با آدرس های کیف پول ارزهای دیجیتال مطابقت دارند، هویت واقعی کاربر را می توان از اطلاعات جمع آوری شده و مرتبط با کیف پول و فعالیت آن آشکار کرد.

این سوء استفاده از آسیب‌پذیری جستجوی بین سایتی بهره می‌برد. Imperva ادعا می کند که OpenSea یک کتابخانه را برای تغییر اندازه عناصر صفحه وب که محتوای HTML را از جاهای دیگر بارگیری می کند که معمولاً برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود، پیکربندی اشتباهی انجام داده است.

OpenSea ارتباطات این کتابخانه را محدود نکرده است، بنابراین سوء استفاده‌کننده می‌تواند از اطلاعاتی که پخش می‌کند به‌عنوان «اوراکل» برای محدود کردن نتایج جستجو در زمانی که صفحه وب بسیار کوچک است برای بازگشت استفاده کند.

Imperva توضیح می دهد که مهاجم پیوندی را از طریق ایمیل یا پیامک به هدف ارسال می کند که با کلیک روی آن، “اطلاعات ارزشمندی مانند آدرس IP هدف، عامل کاربر، جزئیات دستگاه و نسخه نرم افزار را نشان می دهد.”

تصویری از صفحه اول OpenSea. منبع: OpenSea

سپس مهاجمان از آسیب‌پذیری OpenSea برای استخراج نام NFT هدف سوء استفاده می‌کنند و آدرس کیف پول مربوطه را با اطلاعات شناسایی مانند ایمیل یا شماره تلفن ارسال شده در لینک اصلی مرتبط می‌کنند.

Imperva گفت OpenSea “به سرعت به این موضوع رسیدگی کرد” و ارتباطات کتابخانه را به درستی محدود کرد و گزارش داد که این پلتفرم “دیگر در معرض چنین حملاتی قرار ندارد.”

مربوط: تیم امنیتی داشبوردی را برای شناسایی هک‌های احتمالی NFT در OpenSea ایجاد می‌کند

کاربران این پلتفرم قربانی حملاتی شده‌اند که عملکرد OpenSea را تقلید می‌کنند و اکسپلویت‌هایی را انجام می‌دهند، از جمله وب‌سایت‌های فیشینگ مشابه این پلتفرم و امضای درخواست‌هایی که به نظر می‌رسد از OpenSea سرچشمه می‌گیرند.

پس از یک حمله فیشینگ گسترده در فوریه ۲۰۲۲ که به ارزش ۱.۷ میلیون دلار NFT از کاربران به سرقت رفت، OpenSea خود با انتقادهایی درباره امنیت پلتفرم خود مواجه شد.

در مورد وصله اخیر، مشخص نیست که چه مدت وجود دارد یا آیا کاربرانی تحت تأثیر این اکسپلویت قرار گرفته اند یا خیر.

OpenSea بلافاصله به درخواست Cointelegraph برای اظهار نظر پاسخ نداد.



نویسنده: Jesse Coghlan

به این مطلب چه امتیازی می‌دهید؟

میانگین امتیارها ۰ / ۵. مجموع آرا: ۰

دیدگاهتان را بنویسید

دکمه بازگشت به بالا