OpenSea آسیب پذیری هایی را اصلاح می کند که می تواند هویت کاربران را فاش کند

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

شرکت امنیت سایبری Imperva یک آسیب پذیری کشف کرده است که می تواند برای افشای اطلاعات کاربران مانند آدرس ایمیل و شماره تلفن استفاده شود. الان وصله شده

گزارش شده است که OpenSea، یک بازار توکن غیرقابل تعویض (NFT)، آسیب‌پذیری را اصلاح کرده است که در صورت بهره‌برداری، می‌تواند اطلاعات شناسایی کاربران ناشناس را فاش کند.

در وبلاگی در 9 مارس، شرکت امنیت سایبری Imperva NFT را به آسیب‌پذیری متهم کرد که ادعا می‌کند به کاربران OpenSea اجازه می‌دهد تا «با پیوند دادن آدرس IP، جلسه مرورگر یا ایمیل‌شان تحت شرایط خاص، ناشناس شوند.» من با جزئیات توضیح دادم که چگونه پیدا کردم. آی تی.

Imperva توضیح می دهد که از آنجایی که NFT ها با آدرس های کیف پول ارزهای دیجیتال مطابقت دارند، هویت واقعی کاربر را می توان از اطلاعات جمع آوری شده و مرتبط با کیف پول و فعالیت آن آشکار کرد.

تیم Imperva Red یک آسیب پذیری جستجوی بین سایتی را کشف کرد. #NFTs بازار ＃دریای آزاد.

این آسیب‌پذیری امکان ناشناس‌سازی کاربر را می‌دهد و به طور بالقوه هویت کاربر را آشکار می‌کند. https://t.co/nGQWceeGEc

— Imperva (@Imperva) 9 مارس 2023

این سوء استفاده از آسیب‌پذیری جستجوی بین سایتی بهره می‌برد. Imperva ادعا می کند که OpenSea یک کتابخانه را برای تغییر اندازه عناصر صفحه وب که محتوای HTML را از جاهای دیگر بارگیری می کند که معمولاً برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود، پیکربندی اشتباهی انجام داده است.

OpenSea ارتباطات این کتابخانه را محدود نکرده است، بنابراین سوء استفاده‌کننده می‌تواند از اطلاعاتی که پخش می‌کند به‌عنوان «اوراکل» برای محدود کردن نتایج جستجو در زمانی که صفحه وب بسیار کوچک است برای بازگشت استفاده کند.

Imperva توضیح می دهد که مهاجم پیوندی را از طریق ایمیل یا پیامک به هدف ارسال می کند که با کلیک روی آن، “اطلاعات ارزشمندی مانند آدرس IP هدف، عامل کاربر، جزئیات دستگاه و نسخه نرم افزار را نشان می دهد.”

سپس مهاجمان از آسیب‌پذیری OpenSea برای استخراج نام NFT هدف سوء استفاده می‌کنند و آدرس کیف پول مربوطه را با اطلاعات شناسایی مانند ایمیل یا شماره تلفن ارسال شده در لینک اصلی مرتبط می‌کنند.

Imperva گفت OpenSea “به سرعت به این موضوع رسیدگی کرد” و ارتباطات کتابخانه را به درستی محدود کرد و گزارش داد که این پلتفرم “دیگر در معرض چنین حملاتی قرار ندارد.”

مربوط: تیم امنیتی داشبوردی را برای شناسایی هک‌های احتمالی NFT در OpenSea ایجاد می‌کند

کاربران این پلتفرم قربانی حملاتی شده‌اند که عملکرد OpenSea را تقلید می‌کنند و اکسپلویت‌هایی را انجام می‌دهند، از جمله وب‌سایت‌های فیشینگ مشابه این پلتفرم و امضای درخواست‌هایی که به نظر می‌رسد از OpenSea سرچشمه می‌گیرند.

پس از یک حمله فیشینگ گسترده در فوریه 2022 که به ارزش 1.7 میلیون دلار NFT از کاربران به سرقت رفت، OpenSea خود با انتقادهایی درباره امنیت پلتفرم خود مواجه شد.

در مورد وصله اخیر، مشخص نیست که چه مدت وجود دارد یا آیا کاربرانی تحت تأثیر این اکسپلویت قرار گرفته اند یا خیر.

OpenSea بلافاصله به درخواست Cointelegraph برای اظهار نظر پاسخ نداد.

نویسنده: Jesse Coghlan