Hãng an ninh mạng Imperva đã tìm thấy một lỗ hổng có thể được sử dụng để rò rỉ thông tin người dùng như địa chỉ email và số điện thoại, lỗ hổng này hiện đã được vá.
Thị trường Token không thể thay thế (NFT) OpenSea được báo cáo đã vá một lỗ hổng bảo mật, nếu bị khai thác, có thể làm lộ thông tin nhận dạng về người dùng ẩn danh của nó.
Trong một blog ngày 9 tháng 3, công ty an ninh mạng Imperva đã trình bày chi tiết cách họ phát hiện ra lỗ hổng bảo mật mà họ cho rằng có thể hủy nhận dạng người dùng OpenSea bằng cách liên kết địa chỉ IP, phiên trình duyệt hoặc email trong một số điều kiện nhất định với NFT.
Vì NFT tương ứng với một địa chỉ ví tiền điện tử, nên danh tính thực của người dùng có thể được tiết lộ từ thông tin được thu thập và liên kết với ví cũng như hoạt động của nó, Imperva giải thích.
Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.
— Imperva (@Imperva) March 9, 2023
This vulnerability allows for the deanonymization of users, potentially revealing a user's identity. https://t.co/nGQWceeGEc
Kẻ khai thác được hiểu là đã lợi dụng lỗ hổng tìm kiếm trên nhiều trang web. Imperva tuyên bố OpenSea đã định cấu hình sai thư viện thay đổi kích thước các phần tử trang web tải nội dung HTML từ nơi khác thường được sử dụng để đặt quảng cáo, nội dung tương tác hoặc video được nhúng.
Vì OpenSea không hạn chế giao tiếp thư viện này, những kẻ khai thác có thể sử dụng thông tin mà nó phát đi như một lời tiên tri để thu hẹp phạm vi khi các tìm kiếm không trả lại kết quả nào vì trang web sẽ nhỏ hơn.
Imperva nêu chi tiết rằng kẻ tấn công sẽ gửi cho mục tiêu của chúng một liên kết qua email hoặc SMS. Liên kết này nếu được nhấp vào sẽ tiết lộ thông tin có giá trị, chẳng hạn như địa chỉ IP mục tiêu, tác nhân người dùng, chi tiết thiết bị và phiên bản phần mềm.
Sau đó, kẻ tấn công sẽ sử dụng lỗ hổng OpenSea để trích xuất tên NFT của mục tiêu và liên kết địa chỉ ví tương ứng với thông tin nhận dạng như email hoặc số điện thoại đã được gửi liên kết ban đầu.
Imperva cho biết OpenSea đã nhanh chóng giải quyết vấn đề và hạn chế hợp lý thông tin liên lạc của thư viện, đồng thời báo cáo rằng nền tảng không còn có nguy cơ bị tấn công như vậy nữa.
Người dùng nền tảng từ lâu đã là nạn nhân của các cuộc tấn công bắt chước các chức năng của OpenSea để thực hiện các hành vi khai thác, chẳng hạn như các trang web lừa đảo giống với nền tảng hoặc các yêu cầu chữ ký có vẻ bắt nguồn từ OpenSea.
Bản thân OpenSea đã phải đối mặt với sự chỉ trích về bảo mật nền tảng của mình do một cuộc tấn công lừa đảo lớn vào tháng 2 năm 2022 dẫn đến việc người dùng đánh cắp hơn 1,7 triệu đô la NFT.
Đối với bản vá gần đây, không biết nó đã tồn tại bao lâu hoặc liệu có người dùng nào bị ảnh hưởng bởi việc khai thác hay không.
OpenSea đã không trả lời ngay lập tức yêu cầu bình luận của WebGiaCoin.
Theo CoinTelegraph
|
Tags: Opensea, Khai thác nft, Khai thác opensea, Lỗ hổng, Iframe, Người dùng nft, Tin tặc, Lừa đảo, Array,