- Kryphålet på OpenSea när det lyckades utnyttjas kunde ha gjort det möjligt för angriparen att erhålla användarnas identiteter.
- OpenSea fixade snabbt problemet efter att sårbarheten kom i förgrunden.
Cybersäkerhetsföretag Imperva upptäckt en stor sårbarhet på den populära NFT-marknaden OpenSea, som när den utnyttjas framgångsrikt kan tillåta angriparen att erhålla användarnas identiteter på plattformen.
Enligt Imperva var felkonfigurationen av iFrame-resizer-biblioteket som används av OpenSea huvudorsaken bakom sårbarheten.
Genom att tillhandahålla mer information om exploateringsmekanismen för problemet, uppgav Imperva att angriparen skulle skicka en länk via e-post eller SMS.
Om offret klickar på länken kommer viktig information som målets IP-adress, användaragent, enhetsdetaljer och programvaruversioner att hämtas.
Sårbarhet för sökning på flera ställen skulle då utnyttjas för att få fram målets NFT-namn och angriparen skulle sedan associera den läckta NFT/public wallet-adressen med e-posten eller telefonnumret dit länken ursprungligen skickades till.
Impervas rapport nämnde dock att OpenSea hade åtgärdat problemet efter att det rapporterades och att marknadsplatsen inte längre riskerade att drabbas av sådana attacker
Tainted past
OpenSea har mött allvarliga farhågor över plattformens säkerhet tidigare. I februari 2022 var det i centrum för ett av de största hackarna i NFT-ekosystemet.
Under exploateringen stals NFTs till ett värde av 1.7 miljoner dollar från användarnas plånböcker. Intrånget erkändes av OpenSeas vd Devin Finzer.
En annan uppdatering: under de senaste timmarna har vi pratat med dussintals människor, team och projekt över hela NFT-området. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Februari 20, 2022
På mindre än tre månader drabbades marknadsplatsen igen när dess discord-kanalen har äventyrats. Hackarna publicerade en falsk samarbetsnyhet på YouTube som innehöll en länk till en nätfiskesida.
Effekten av hacken fick OpenSea att ta några konkreta åtgärder för att skydda sina användare. Förra månaden introducerade den en nådeperiod på tre timmar under vilka säljare hindras från att acceptera erbjudanden efter en förmodad försäljning.
Handelsaktiviteten minskar
Under tiden såg OpenSea en betydande nedgång i handelsaktiviteten på plattformen sedan mitten av februari. Den veckovisa NFT-handeln sjönk med 40% fram till presstid, enligt data från Token Terminal.
Som en konsekvens av detta minskade också royalties som betalades ut till kreatörer. De veckovisa avgifterna på utbudssidan sjönk med 40 % i skrivande stund, vilket kan avskräcka intresserade kreatörer från att lista deras arbete på marknaden.
Källa: Token Terminal
OpenSea hade drabbats hårt på grund av Oskärpa [BLUR] storm som svepte över NFT-marknadens ekosystem. Enligt data från Dune Analytics minskade OpenSeas andel av den totala handelsvolymen på alla marknadsplatser till 26 %.
Det lyckades dock fortfarande hålla kvar en betydande del av användarbasen och det totala antalet försäljningar, med en dominans på 62.8% respektive 51%.
Källa: Dune Analytics
Källa: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/