Según los informes, OpenSea ha solucionado una falla que, de ser explotada, podría haber revelado información personal sobre sus usuarios anónimos.
La vulnerabilidad, según la empresa de ciberseguridad Imperva, podría desanonimizar a los usuarios de OpenSea “al asociar una dirección IP, una sesión de navegador o un correo electrónico en escenarios específicos”, explicó la compañía en una publicación de blog el 9 de marzo.
Según Imperva, la información obtenida y conectada a la billetera y su comportamiento podría identificar la verdadera identidad de un usuario, ya que el NFT corresponde a una dirección de billetera de criptomonedas.
Se cree que se aprovechó la vulnerabilidad de búsqueda entre sitios. Imperva afirmó que OpenSea había configurado incorrectamente una biblioteca que cambia el tamaño de los elementos de la página web que cargan material HTML de fuentes externas y se utilizan con frecuencia para mostrar anuncios, contenido interactivo o películas incrustadas.
Los explotadores podrían utilizar la información que transmite como un “oráculo” para centrar sus esfuerzos cuando las búsquedas no arrojan resultados porque la página web sería más pequeña porque OpenSea no impuso ninguna restricción a las comunicaciones de esta biblioteca. Según Imperva, un atacante podría enviar un enlace a un objetivo por correo electrónico o SMS que, al hacer clic, proporcionaría "información importante, incluida la dirección IP del objetivo, el agente de usuario, los datos del dispositivo y las versiones de software".
Después de extraer los nombres NFT de su objetivo utilizando la vulnerabilidad de OpenSea, el atacante vincularía la dirección de billetera adecuada a detalles identificables como el correo electrónico o el número de teléfono que se utilizó para enviar el enlace original. Imperva informó que la plataforma "ya no corría riesgo de tales ataques" después de que OpenSea "rectificó inmediatamente la vulnerabilidad" y restringió adecuadamente las interacciones de la biblioteca.
Los usuarios de la plataforma son frecuentemente blanco de ataques que imitan las características de OpenSea para explotar vulnerabilidades, como sitios web de phishing que se parecen a la plataforma o solicitudes de firmas que parecen provenir de OpenSea.
Debido a un importante intento de phishing que se produjo en febrero de 2022 y que resultó en el robo de NFT valorados en más de 1,7 millones de dólares de los usuarios, OpenSea ha sido criticada por la seguridad de su plataforma. No está claro cuánto tiempo lleva implementado el parche más reciente o si algún usuario se ha visto afectado por la vulnerabilidad.
La publicación OpenSea Patches Vulnerabilidad que potencialmente expuso las identidades de los usuarios apareció por primera vez en BitcoinWorld.
