ניט-פונגיבלע טאָקען (NFT) מאַרק OpenSea האט ריפּאָרטאַדלי פּאַטשט אַ וואַלנעראַביליטי וואָס, אויב עקספּלויטאַד, קען ויסשטעלן ידענטיפיינג אינפֿאָרמאַציע וועגן זיין אַנאָנימע באַנוצערס.
אין אַ 9טן מאַרץ בלאָג, סייבערסעקוריטי פירמע ימפּערוואַ דיטיילד ווי עס דיסקאַווערד די וואַלנעראַביליטי וואָס עס קליימד קען דעאַנאָנימיזע OpenSea יוזערז "דורך פֿאַרבינדונג אַן IP אַדרעס, אַ בלעטערער סעסיע אָדער אַן E- בריוו אין זיכער טנאָים" צו אַן NFT.
ווי די NFT קאָראַספּאַנדז צו אַ קריפּטאָקוררענסי בייַטל אַדרעס, אַ באַניצער ס פאַקטיש אידענטיטעט קען זיין אנטפלעקט פֿון די אינפֿאָרמאַציע אלנגעזאמלט און לינגקט צו די בייַטל און זייַן טעטיקייט, ימפּערוואַ דערקלערט.
ימפּערוואַ רעד מאַנשאַפֿט דיסקאַווערד אַ קרייַז-פּלאַץ זוכן וואַלנעראַביליטי וואָס אַפעקץ די # NFT מאַרק # אָפּענסעע.
די וואַלנעראַביליטי אַלאַוז די דיאַנאָנימיזאַטיאָן פון יוזערז, פּאַטענטשאַלי ריווילינג די אידענטיטעט פון אַ באַניצער. https://t.co/nGQWceeGEc
- ימפּערוואַ (@ימפּערוואַ) מאַרץ קסנומקס, קסנומקס
דער גווורע איז פארשטאנען צו האָבן גענומען מייַלע פון אַ קרייַז-פּלאַץ זוכן וואַלנעראַביליטי. ימפּערוואַ קליימד אַז OpenSea האט מיסקאַנפיגיערד אַ ביבליאָטעק וואָס רעסיזעס וועב בלאַט עלעמענטן וואָס לאָדן HTML אינהאַלט פֿון אנדערש וואָס זענען טיפּיקלי געניצט צו שטעלן אַדס, ינטעראַקטיוו אינהאַלט אָדער עמבעדיד ווידיאס.
ווי OpenSea האט נישט באַגרענעצן די קאָמוניקאַציע פון די ביבליאָטעק, עקספּלויטערז קען נוצן די אינפֿאָרמאַציע וואָס עס בראָדקאַסט ווי אַ "אָראַקלע" צו פאַרקלענערן ווען אָנפֿרעגן געבן קיין רעזולטאַטן ווייַל די וועב בלאַט וואָלט זיין קלענערער.
ימפּערוואַ דיטיילד אַז אַ אַטאַקער וואָלט שיקן זייער ציל אַ לינק דורך E- בריוו אָדער SMS וואָס אויב קליקט "ריוואַלז ווערטפול אינפֿאָרמאַציע, אַזאַ ווי די ציל ס IP אַדרעס, באַניצער אַגענט, מיטל דעטאַילס און ווייכווארג ווערסיעס."
דער אַטאַקער וואָלט דאַן נוצן די וואַלנעראַביליטי פון OpenSea צו עקסטראַקט די NFT נעמען פון זייער ציל און פֿאַרבונדן די קאָראַספּאַנדינג בייַטל אַדרעס מיט ידענטיפיינג אינפֿאָרמאַציע אַזאַ ווי אַן E- בריוו אָדער טעלעפאָן נומער וואָס איז געשיקט צו דער אָריגינעל לינק.
ימפּערוואַ האט געזאגט אַז OpenSea "גיך אַדרעסד דעם אַרויסגעבן" און רעכט ריסטריקטיד די ביבליאָטעק ס קאָמוניקאַציע און געמאלדן אַז די פּלאַטפאָרמע "איז ניט מער אין ריזיקירן פון אַזאַ אנפאלן."
פֿאַרבונדענע: זיכערהייט מאַנשאַפֿט קריייץ דאַשבאָרד צו דעטעקט פּאָטענציעל NFT כאַקס אין OpenSea
באנוצערס פון דער פלאטפארמע זענען שוין לאנג וויקטימס פון אטאקעס וואס נאכמאכן די פאַנגקשאַנז פון OpenSea צו דורכפירן עקספּלויץ, אַזאַ ווי פישינג וועבסיטעס וואָס ריזעמבאַל די פּלאַטפאָרמע אָדער כסימע ריקוועס דערשייַנען קומען פֿון OpenSea.
OpenSea זיך האט געטראגן קריטיק פֿאַר זייַן פּלאַטפאָרמע זיכערהייַט רעכט צו אַ הויפּט פישינג באַפאַלן אין פעברואר 2022, דאָס האָט געפֿירט צו NFTs אין ווערט פון איבער $ 1.7 מיליאָן ווערט סטאָלען פון יוזערז.
ווי פֿאַר די לעצטע לאַטע, עס איז אומבאַקאַנט ווי לאַנג עס עקסיסטירט אָדער אויב קיין יוזערז האָבן שוין אַפעקטאַד דורך די גווורע.
OpenSea האָט נישט גלייך רעאַגירט אויף דער בקשה פון קאָינטעלעגראַף צו באַמערקן.
מקור: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities