OpenSea פּאַטשאַז פּאַטענטשאַלי ערנסט וואַלנעראַביליטי

NFT מאַרקעט OpenSea לעצטנס גערעדט אַ וואַלנעראַביליטי אין זייער קאָד וואָס קען זיין עקספּלויטאַד צו רינען באַניצער דאַטן. 

ימפּערוואַ דיטעקץ OpenSea וואַלנעראַביליטי

אויף 9 מער, סייבערסעקוריטי פירמע ימפּערוואַ אנגעוויזן אַ וואַלנעראַביליטי אין די אָפּענסעאַ פּלאַטפאָרמע. די פירמע פארעפנטלעכט אַ בלאָג פּאָסטן מיט דיטיילד זייַן פיינדינגז און קליימד אַז די וואַלנעראַביליטי געשטעלט ערנסט זיכערהייט טרעץ צו באַניצער דאַטן. בייזע אַקטערז קען נוצן דעם זשוק צו ופדעקן פערזענלעכע אינפֿאָרמאַציע וועגן יוזערז, אַזאַ ווי זייער טעלעפאָן נומערן און E- בריוו ID. 

די מאַנשאַפֿט טוועעטעד, 

"Imperva Red Team דיסקאַווערד אַ קרייַז-פּלאַץ זוכן וואַלנעראַביליטי וואָס אַפעקץ די NFT מאַרק OpenSea."

די וואַלנעראַביליטי אַלאַוז די דיאַנאָנימיזאַטיאָן פון יוזערז, פּאַטענטשאַלי ריווילינג די אידענטיטעט פון אַ באַניצער.

לויט דעם באַריכט, אַנאָנימע באַנוצערס OpenSea יוזערז קען זיין אַנוויילד דורך מאַניפּיאַלייטינג דעם זשוק און פֿאַרבינדונג אַן IP אַדרעס, אַ בלעטערער סעסיע אָדער אפילו אַן E- בריוו צו אַן NFT. ווי אַ רעזולטאַט, אַנאָנימע באַנוצערס בויערס קענען ריזיקירן אַז זייער אידענטיטעט איז יקספּאָוזד אויב די קאָראַספּאַנדינג קריפּטאָ בייַטל אַדרעס איז אנטפלעקט אין קשר צו די אינפֿאָרמאַציע אלנגעזאמלט פון די יידענטאַפייינג אַדרעס. 

וואָרצל סיבה - ביבליאָטעק מיסקאָנפיגוראַטיאָן

דער באַריכט ווייַטער אַנאַליזעס די וואָרצל גרונט פון דעם ענין, און ידענטיפיצירן די מיסקאַנפיגיעריישאַן פון די iFrame-resizer ביבליאָטעק געניצט דורך די NFT פּלאַטפאָרמע, וואָס געפֿירט די קרייַז-פּלאַץ זוכן וואַלנעראַביליטי. דעם מיטל די פּלאַטפאָרמע האט מיסקאַנפיגיערד אַ ביבליאָטעק וואָס רעסיזעס וועב בלאַט עלעמענטן לאָודינג HTML אינהאַלט פֿון אנדערש. 

דער שטריך איז געניצט צו שטעלן אַדס, ינטעראַקטיוו אינהאַלט אָדער עמבעדיד ווידיאס. זינט די OpenSea פּלאַטפאָרמע האט נישט ריסטריקטיד די קאָמוניקאַציע פון ​​​​די ביבליאָטעק, עס וואָלט זיין גרינג פֿאַר כאַקערז און אנדערע בייזע אַקטערז צו מאַניפּולירן די בראָדקאַסט אינפֿאָרמאַציע און נוצן עס ווי אַ "אָראַקלע" צו פּיינטיד טאַרגאַץ. 

זיי קען דעריבער שיקן די ציל אַ לינק דורך E- בריוו אָדער SMS. אויב דער ציל גיט אויף די לינק, זייער פערזענלעכע אינפֿאָרמאַציע, אַרייַנגערעכנט זייער IP אַדרעס, באַניצער אַגענט, מיטל דעטאַילס און ווייכווארג ווערסיעס, וועט זיין גילוי. די E- בריוו אַדרעס און טעלעפאָן נומער קען האָבן אַקטאַד ווי די ידענטיפיינג מארקפלעצער צו לאָזן די אַטאַקער צו אַקסעס די נעמען פון די NFTs פארבונדן צו די ציל און זייער קאָראַספּאַנדינג בייַטל אַדרעס. 

OpenSea ס זיכערהייט קאַנסערנז

ריפּאָרטאַדלי, די OpenSea מאַנשאַפֿט האט גערעדט דעם אַרויסגעבן דורך געשווינד ריליסינג אַ לאַטע צו פאַרריכטן די וואַלנעראַביליטי. די ימפּערוואַ מאַנשאַפֿט באשטעטיקט אַז דעם לאַטע ריסטריקץ קרייַז-אָריגינעל קאָמוניקאַציע און וועט פאַרמייַדן צוקונפֿט עקספּלויטיישאַן, אַזוי הצלחה אַדרעסינג די סאַקאָנע. 

אָבער, דאָס איז נישט דער ערשטער זיכערהייט סאַקאָנע פון ​​OpenSea. אין סעפטעמבער 2021, די פּלאַטפאָרמע יקספּיריאַנסט אַ זשוק וואָס ריזאַלטיד אין די דילישאַן פון NFTs ווערט 28.44 ETH אָדער $ 100,000. פאָרויס צו אַ יאָר שפּעטער, אין פעברואר 2022, OpenSea איז טאַרגעטעד דורך אַ העקער וואָס האט סטאָלען עטלעכע הויך-ווערט NFTs פון די ניצערס פון די פּלאַטפאָרמע. 

אָפּלייקענונג: דער אַרטיקל איז בלויז צוגעשטעלט פֿאַר ינפאָרמיישאַנאַל צוועקן. עס איז ניט געפֿינט אָדער בדעה צו זיין געוויינט ווי לעגאַל, שטייער, ינוועסמאַנט, פינאַנציעל אָדער אנדערע עצה.