تصحح OpenSea الثغرات الأمنية التي من المحتمل أن تكشف هويات المستخدمين

يقال إن سوق الرموز غير القابلة للفطريات (NFT) قام OpenSea بتصحيح ثغرة أمنية ، إذا تم استغلالها ، يمكن أن تكشف معلومات التعريف الخاصة بمستخدميها المجهولين.

في مارس 9 مدونة، قامت شركة Imperva للأمن السيبراني بتفصيل كيفية القيام بذلك اكتشف الضعف التي ادعت أنها يمكن أن تحدد هوية مستخدمي OpenSea "عن طريق ربط عنوان IP ، أو جلسة متصفح ، أو بريد إلكتروني في ظروف معينة" بـ NFT.

نظرًا لأن NFT يتوافق مع عنوان محفظة العملة المشفرة ، يمكن الكشف عن الهوية الحقيقية للمستخدم من المعلومات التي تم جمعها وربطها بالمحفظة ونشاطها ، أوضح Imperva.

اكتشف فريق Imperva Red وجود ثغرة أمنية في البحث عبر المواقع تؤثر على #إن إف تي السوق # افتح البحر.
تسمح هذه الثغرة الأمنية بإخفاء هوية المستخدمين ، مما قد يكشف عن هوية المستخدم. https://t.co/nGQWceeGEc
- إمبرفا (@ إمبرفا) 9 آذار، 2023

من المفهوم أن الاستغلال قد استفاد من ثغرة أمنية في البحث عبر المواقع. ادعت شركة Imperva أن OpenSea قد أخطأت في تكوين مكتبة تقوم بتغيير حجم عناصر صفحة الويب التي تقوم بتحميل محتوى HTML من مكان آخر والتي تُستخدم عادةً لوضع الإعلانات أو المحتوى التفاعلي أو مقاطع الفيديو المضمنة.

نظرًا لأن OpenSea لم يقيد اتصالات هذه المكتبة ، فقد يستخدم المستغلون المعلومات التي تبثها كـ "أوراكل" لتضييق نطاق البحث عندما لا تُرجع عمليات البحث أي نتائج لأن صفحة الويب ستكون أصغر.

وصفت إمبرفا أن المهاجم سيفعل ذلك أرسل رابطًا لهدفهم عبر البريد الإلكتروني أو الرسائل القصيرة التي إذا تم النقر عليها "تكشف عن معلومات قيمة ، مثل عنوان IP للهدف ووكيل المستخدم وتفاصيل الجهاز وإصدارات البرامج".

*لقطة شاشة للصفحة الأولى لموقع OpenSea. المصدر: OpenSea*

سيستخدم المهاجم بعد ذلك ثغرة OpenSea لاستخراج أسماء NFT لهدفه وربط عنوان المحفظة المقابل بمعلومات التعريف مثل البريد الإلكتروني أو رقم الهاتف الذي تم إرسال الرابط الأصلي.

قال Imperva إن OpenSea "عالج المشكلة بسرعة" وقيد اتصالات المكتبة بشكل صحيح وأبلغ أن المنصة "لم تعد معرضة لخطر مثل هذه الهجمات".

هذا الموضوع ذو علاقة بـ: يقوم فريق الأمان بإنشاء لوحة تحكم لاكتشاف عمليات اختراق NFT المحتملة في OpenSea

لطالما وقع مستخدمو النظام الأساسي ضحايا للهجمات التي تحاكي وظائف OpenSea للقيام بعمليات استغلال ، مثل مواقع التصيد الاحتيالي التي تشبه النظام الأساسي أو ظهور طلبات التوقيع لتنشأ من OpenSea.

OpenSea نفسها واجه انتقادات لأمن منصتها بسبب أ هجوم تصيد كبير في فبراير 2022 مما أدى إلى سرقة أكثر من 1.7 مليون دولار من NFTs من المستخدمين.

أما بالنسبة للتصحيح الأخير ، فمن غير المعروف مدة وجوده أو ما إذا كان أي مستخدم قد تأثر بالاستغلال.

ولم تستجب OpenSea على الفور لطلب كوينتيليغراف للتعليق.