ADVERTISEMENT

OpenSea 修补了可能暴露用户身份的漏洞

152
分享
1.9k
观点
ADVERTISEMENT

据报道,不可替代代币市场 OpenSea 修补了一个漏洞,如果该漏洞被利用,可能会暴露其匿名用户的身份信息。

在 3 月 9 日的博客文章中,网络安全公司 Imperva 详细的 如何 发现漏洞,它声称可以“通过在特定条件下将 IP 地址、浏览器会话或电子邮件链接”到 NFT 来使 OpenSea 用户去匿名化。

Imperva 解释说,由于 NFT 对应于一个加密货币钱包地址,用户的真实身份可以从收集并链接到钱包及其活动的信息中揭示出来。

据了解,该漏洞利用了跨站点搜索漏洞。 Imperva 声称 OpenSea 错误配置了一个库,该库调整网页元素的大小,这些网页元素从其他地方加载 HTML 内容,这些内容通常用于放置广告、交互式内容或嵌入式视频。

由于 OpenSea 不限制该库的通信,因此当搜索没有返回结果时,开发者可以使用它作为“神谕”广播的信息来缩小范围,因为网页会变小。

Imperva 详细说明攻击者会 给他们的目标发送一个链接 通过电子邮件或短信,如果点击“会显示有价值的信息,例如目标的 IP 地址、用户代理、设备详细信息和软件版本”。

OpenSea 的首页截图。 资料来源:OpenSea

然后,攻击者将利用 OpenSea 的漏洞提取目标的 NFT 名称,并将相应的钱包地址与通过原始链接发送的电子邮件或电话号码等识别信息相关联。

Imperva 表示,OpenSea“迅速解决了这个问题”并适当地限制了图书馆的通信,并报告称该平台“不再面临此类攻击的风险”。

有关的: 安全团队创建仪表板以检测 OpenSea 中潜在的 NFT 黑客攻击

该平台的用户长期以来一直是模仿 OpenSea 功能进行攻击的受害者,例如类似于该平台的钓鱼网站或 签名请求出现 源自 OpenSea。

OpenSea 本身 曾面临批评 由于其平台安全性 重大网络钓鱼攻击 2022 年 2 月,导致价值超过 170 万美元的 NFT 从用户那里被盗。

至于最近的补丁,尚不清楚它存在了多长时间,也不知道是否有用户受到该漏洞的影响。

OpenSea 没有立即回应 Cointelegraph 的置评请求。