Berichten zufolge hat OpenSea einen Fehler behoben, der bei Ausnutzung möglicherweise persönliche Informationen über seine anonymen Benutzer preisgegeben hätte.

Laut dem Cybersicherheitsunternehmen Imperva könnte die Schwachstelle die Anonymisierung von OpenSea-Benutzern ermöglichen, „indem in bestimmten Szenarien eine IP-Adresse, eine Browser-Sitzung oder eine E-Mail verknüpft wird“, erklärte das Unternehmen in einem Blogbeitrag am 9. März.

Laut Imperva könnten die erhaltenen und mit der Wallet und ihrem Verhalten verknüpften Informationen die wahre Identität eines Benutzers identifizieren, da das NFT der Adresse einer Kryptowährungs-Wallet entspricht.

Es wird angenommen, dass die Cross-Site-Search-Sicherheitslücke ausgenutzt wurde. Imperva behauptete, dass OpenSea eine Bibliothek falsch konfiguriert habe, die die Größe von Webseitenelementen ändert, die HTML-Material aus externen Quellen laden und häufig zum Anzeigen von Werbung, interaktiven Inhalten oder eingebetteten Filmen verwendet werden.

Angreifer könnten die von der Bibliothek gesendeten Informationen als „Orakel“ verwenden, um ihre Bemühungen zu konzentrieren, wenn Suchvorgänge keine Ergebnisse liefern, weil die Webseite kleiner wäre, da OpenSea keine Beschränkungen für die Kommunikation dieser Bibliothek auferlegt hat. Laut Imperva könnte ein Angreifer einem Ziel per E-Mail oder SMS einen Link senden, der beim Anklicken „wichtige Informationen, darunter die IP-Adresse des Ziels, den Benutzeragenten, Gerätedaten und Softwareversionen“ liefert.

Nachdem der Angreifer die NFT-Namen seines Ziels mithilfe der Schwachstelle von OpenSea extrahiert hatte, verknüpfte er die entsprechende Wallet-Adresse mit identifizierbaren Details wie der E-Mail-Adresse oder Telefonnummer, die zum Senden des ursprünglichen Links verwendet wurde. Imperva berichtete, dass die Plattform „nicht mehr einem Risiko solcher Angriffe ausgesetzt“ sei, nachdem OpenSea „die Schwachstelle sofort behoben“ und die Interaktionen der Bibliothek entsprechend eingeschränkt hatte.

Benutzer der Plattform sind häufig das Ziel von Angriffen, bei denen die Funktionen von OpenSea imitiert werden, um Schwachstellen auszunutzen. Dazu zählen beispielsweise Phishing-Websites, die wie die Plattform aussehen, oder Signaturanforderungen, die scheinbar von OpenSea stammen.

Aufgrund eines großen Phishing-Versuchs im Februar 2022, bei dem NFTs im Wert von über 1,7 Millionen Dollar von Nutzern gestohlen wurden, ist OpenSea wegen der Sicherheit seiner Plattform in die Kritik geraten. Es ist unklar, wie lange der neueste Patch bereits verfügbar ist oder ob Benutzer von der Sicherheitslücke betroffen sind.

Der Beitrag „OpenSea behebt Sicherheitslücke, die möglicherweise die Identität von Benutzern offenlegte“ erschien zuerst auf BitcoinWorld.