OpenSea vá lỗ hổng có khả năng làm lộ danh tính người dùng

Theo báo cáo, OpenSea đã sửa một lỗ hổng mà nếu bị khai thác, có thể tiết lộ thông tin cá nhân về những người dùng ẩn danh của nó.

Theo công ty an ninh mạng Imperva, lỗ hổng này có thể hủy danh tính người dùng OpenSea “bằng cách liên kết địa chỉ IP, phiên trình duyệt hoặc email trong các tình huống cụ thể”, công ty giải thích trong một bài đăng trên blog vào ngày 9 tháng 3.

Theo Imperva, thông tin thu được và kết nối với ví cũng như hành vi của nó có thể xác định danh tính thực sự của người dùng vì NFT tương ứng với địa chỉ ví tiền điện tử.

Người ta tin rằng lỗ hổng tìm kiếm chéo trang đã bị khai thác. Imperva khẳng định rằng OpenSea đã định cấu hình không đúng cách thư viện thay đổi kích thước các thành phần trang web tải tài liệu HTML từ các nguồn bên ngoài và thường được sử dụng để hiển thị quảng cáo, nội dung tương tác hoặc phim nhúng.

Những kẻ khai thác có thể sử dụng thông tin mà nó phát đi như một “nhà tiên tri” để tập trung nỗ lực khi các tìm kiếm không mang lại kết quả vì trang web sẽ nhỏ hơn vì OpenSea không áp đặt bất kỳ hạn chế nào đối với hoạt động liên lạc của thư viện này. Theo Imperva, kẻ tấn công có thể gửi liên kết đến mục tiêu qua email hoặc SMS mà khi nhấp vào sẽ cung cấp “thông tin quan trọng, bao gồm địa chỉ IP của mục tiêu, tác nhân người dùng, dữ liệu thiết bị và phiên bản phần mềm”.

Sau khi trích xuất tên NFT của mục tiêu bằng lỗ hổng OpenSea, kẻ tấn công sẽ liên kết địa chỉ ví thích hợp với các chi tiết có thể nhận dạng như email hoặc số điện thoại được sử dụng để gửi liên kết ban đầu. Imperva báo cáo rằng nền tảng này “không còn nguy cơ bị tấn công như vậy nữa” sau khi OpenSea “ngay lập tức khắc phục lỗ hổng” và hạn chế một cách thích hợp các tương tác của thư viện.

Người dùng nền tảng này thường là mục tiêu của các cuộc tấn công bắt chước các tính năng của OpenSea nhằm thực hiện các lỗ hổng bảo mật, chẳng hạn như các trang web lừa đảo trông giống nền tảng hoặc các yêu cầu chữ ký có vẻ đến từ OpenSea.

Do một nỗ lực lừa đảo đáng kể xảy ra vào tháng 2 năm 2022 và dẫn đến việc đánh cắp NFT trị giá hơn 1,7 triệu USD từ người dùng, OpenSea đã bị chỉ trích vì tính bảo mật của nền tảng của mình. Không rõ bản vá gần đây nhất đã tồn tại được bao lâu hoặc liệu có người dùng nào bị ảnh hưởng bởi lỗ hổng này hay không.

Bài đăng OpenSea vá lỗ hổng bảo mật có khả năng làm lộ danh tính người dùng đã xuất hiện đầu tiên trên BitcoinWorld.