Segundo relatos, o OpenSea corrigiu uma falha que, se explorada, poderia ter revelado informações pessoais sobre seus usuários anônimos.

A vulnerabilidade, de acordo com a empresa de segurança cibernética Imperva, pode desanonimizar os usuários do OpenSea “associando um endereço IP, uma sessão de navegador ou um e-mail em cenários específicos”, explicou a empresa em uma postagem no blog em 9 de março.

As informações obtidas e conectadas à carteira e seu comportamento podem identificar a verdadeira identidade do usuário, já que o NFT corresponde ao endereço de uma carteira de criptomoeda, segundo a Imperva.

Acredita-se que a vulnerabilidade de pesquisa entre sites foi explorada. A Imperva afirmou que a OpenSea configurou indevidamente uma biblioteca que redimensiona elementos de páginas da web que carregam material HTML de fontes externas e são frequentemente usados ​​para exibir anúncios, conteúdo interativo ou filmes incorporados.

Os exploradores podem usar as informações que ela transmite como um “oráculo” para concentrar seus esforços quando as pesquisas não fornecem resultados porque a página da Web seria menor porque o OpenSea não impôs nenhuma restrição às comunicações desta biblioteca. De acordo com a Imperva, um invasor pode enviar um link para um alvo por e-mail ou SMS que, quando clicado, forneceria “informações importantes, incluindo o endereço IP do alvo, agente do usuário, dados do dispositivo e versões de software”.

Depois de extrair os nomes NFT de seu alvo usando a vulnerabilidade do OpenSea, o invasor vincularia o endereço da carteira apropriado a detalhes identificáveis, como o e-mail ou número de telefone usado para enviar o link original. A Imperva relatou que a plataforma “não corria mais risco de tais ataques” depois que a OpenSea “retificou imediatamente a vulnerabilidade” e restringiu adequadamente as interações da biblioteca.

Os usuários da plataforma são frequentemente alvo de ataques que imitam os recursos do OpenSea para realizar vulnerabilidades, como sites de phishing que se parecem com a plataforma ou solicitações de assinatura que parecem vir do OpenSea.

Devido a uma tentativa significativa de phishing que ocorreu em fevereiro de 2022 e resultou no roubo de NFTs avaliados em mais de US$ 1,7 milhão dos usuários, a OpenSea foi criticada pela segurança de sua plataforma. Não está claro há quanto tempo o patch mais recente está em vigor ou se algum usuário foi afetado pela vulnerabilidade.

A postagem Vulnerabilidade de patches do OpenSea que potencialmente expôs as identidades dos usuários apareceu pela primeira vez no BitcoinWorld.