Marknadsplatsen för Nonfungible token (NFT) OpenSea har enligt uppgift korrigerat en sårbarhet som, om den utnyttjas, kan avslöja identifierande information om dess anonyma användare.
I en 9 mars blogg, cybersäkerhetsföretaget Imperva detaljerade hur det upptäckte sårbarheten som den hävdade kunde deanonymisera OpenSea-användare "genom att länka en IP-adress, en webbläsarsession eller ett e-postmeddelande under vissa förhållanden" till en NFT.
Eftersom NFT motsvarar en kryptovaluta-plånboksadress, kan en användares verkliga identitet avslöjas från den information som samlas in och kopplas till plånboken och dess aktivitet, förklarade Imperva.
Imperva Red Team upptäckte en sårbarhet för sökning på flera webbplatser som påverkar #NFT marknadsplats #Öppet hav.
Denna sårbarhet möjliggör deanonymisering av användare, vilket potentiellt avslöjar en användares identitet. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Mars 9, 2023
Exploateringen anses ha utnyttjat en sårbarhet för sökning på flera webbplatser. Imperva hävdade att OpenSea hade felkonfigurerat ett bibliotek som ändrar storlek på webbsideselement som laddar HTML-innehåll från någon annanstans som vanligtvis används för att placera annonser, interaktivt innehåll eller inbäddade videor.
Eftersom OpenSea inte begränsade detta biblioteks kommunikation, kunde exploatörer använda informationen som det sänder som ett "orakel" för att begränsa när sökningar inte ger några resultat eftersom webbsidan skulle vara mindre.
Imperva förklarade att en angripare skulle göra det skicka deras mål en länk via e-post eller SMS som om du klickar på "avslöjar värdefull information, såsom målets IP-adress, användaragent, enhetsdetaljer och programvaruversioner."
Angriparen skulle sedan använda OpenSeas sårbarhet för att extrahera NFT-namnen på sitt mål och associera motsvarande plånboksadress med identifierande information såsom ett e-postmeddelande eller ett telefonnummer som skickades till den ursprungliga länken.
Imperva sa att OpenSea "snabbt åtgärdade problemet" och begränsade bibliotekets kommunikation korrekt och rapporterade att plattformen "inte längre löpte risk för sådana attacker."
Relaterat: Säkerhetsteamet skapar instrumentpanelen för att upptäcka potentiella NFT-hack i OpenSea
Användare av plattformen har länge varit offer för attacker som efterliknar OpenSeas funktioner för att utföra utnyttjande, såsom nätfiskewebbplatser som liknar plattformen eller signaturförfrågningar dyker upp kommer från OpenSea.
OpenSea själv har mött kritik för sin plattformssäkerhet på grund av en större nätfiskeattack i februari 2022, vilket resulterade i att NFT:er till ett värde av över 1.7 miljoner dollar stals från användare.
När det gäller den senaste patchen är det okänt hur länge den funnits eller om några användare hade påverkats av utnyttjandet.
OpenSea svarade inte omedelbart på Cointelegraphs begäran om kommentar.
Källa: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities