- Лазейка в OpenSea при успешном использовании могла позволить злоумышленнику получить идентификационные данные пользователей.
- OpenSea быстро исправила проблему после того, как уязвимость вышла на первый план.
Компания кибербезопасности Imperva обнаружена серьезная уязвимость на популярном рынке NFT OpenSea, который при успешном использовании может позволить злоумышленнику получить идентификационные данные пользователей на платформе.
По словам Imperva, основной причиной уязвимости была неправильная конфигурация библиотеки iFrame-resizer, используемой OpenSea.
Предоставляя более подробную информацию о механизме эксплуатации этой проблемы, Imperva заявила, что злоумышленник отправит ссылку по электронной почте или SMS.
Если жертва нажмет на ссылку, будет получена важная информация, такая как IP-адрес цели, пользовательский агент, сведения об устройстве и версии программного обеспечения.
Затем будет использована уязвимость межсайтового поиска, чтобы получить имена NFT цели, а злоумышленник затем свяжет просочившийся адрес NFT/общедоступного кошелька с адресом электронной почты или номером телефона, на который изначально была отправлена ссылка.
Однако в отчете Imperva упоминается, что OpenSea устранила проблему после того, как о ней сообщили, и рынок больше не подвергался риску таких атак.
Испорченное прошлое
В прошлом OpenSea сталкивалась с серьезными опасениями по поводу безопасности платформы. В феврале 2022 года он оказался в центре одного из крупнейших взломов в экосистеме NFT.
Во время эксплойта из кошельков пользователей были украдены NFT на сумму 1.7 миллиона долларов. Нарушение было признано генеральным директором OpenSea Девином Финцером.
Еще одно обновление: за последние несколько часов мы поговорили с десятками людей, команд и проектов в пространстве NFT. https://t.co/fB5r3cMA1r
- Девин Финзер (dfinzer.eth) (@dfinzer) 20 февраля 2022
Менее чем через три месяца рынок снова пострадал, когда его дискорд канал был взломан. Хакеры разместили поддельную новость о сотрудничестве на YouTube со ссылкой на фишинговый сайт.
Влияние взломов заставило OpenSea предпринять некоторые конкретные шаги для защиты своих пользователей. В прошлом месяце он представил льготный период трех часов, в течение которых продавцам будет запрещено принимать предложения после предполагаемой продажи.
Торговая активность снижается
Между тем, с середины февраля в OpenSea наблюдался значительный спад торговой активности на платформе. Согласно данным Token Terminal, еженедельная торговля NFT упала на 40% до момента публикации.
Как следствие этого, гонорары, выплачиваемые создателям, также снизились. Еженедельные сборы со стороны предложения упали на 40% на момент написания статьи, что может отговорить заинтересованных авторов от размещения своих работ на торговой площадке.
Источник: Token Terminal
OpenSea сильно пострадала из-за Размытие [РАЗМЫВАНИЕ] шторм, охвативший экосистему рынка NFT. По данным Dune Analytics, доля OpenSea в общем объеме торгов на всех маркетплейсах сократилась до 26%.
Тем не менее, ему все же удалось удержать значительную часть пользовательской базы и общего количества продаж с доминированием 62.8% и 51% соответственно.
Источник: Dune Analytics
Источник: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/