OpenSea 修補可能暴露用戶身份的漏洞

網絡安全公司 Imperva 發現一個漏洞,可用於鏈接電子郵件地址和電話號碼等用戶訊息,該漏洞現已修復

OpenSea 的首頁截圖。From OpenSea

據報導,非同質化代幣市場 OpenSea 修補一個漏洞,如果該漏洞被利用,可能會暴露其匿名用戶的身份訊息。

在 3 月 9 日的部落格文章中,網絡安全公司 Imperva詳細介紹它是如何發現該漏洞的,它聲稱該漏洞可以“透過在特定條件下將 IP 地址、瀏覽器會話或電子郵件鏈接”到 NFT 來使 OpenSea 用戶去匿名化。

Imperva 解釋說,由於 NFT 對應於一個加密貨幣錢包地址,用戶的真實身份可以從收集並鏈接到錢包及其活動的訊息中揭示出來。

據了解,該漏洞利用跨站點搜索漏洞,Imperva 聲稱 OpenSea 錯誤配置一個庫,該庫調整網頁元素的大小,這些網頁元素從其他地方加載 HTML 內容,這些內容通常用於放置廣告、互動式內容或嵌入式影片。

由於 OpenSea 不限制該庫的通信,因此當搜索沒有返回結果時,開發者可以使用它作為“oracle”廣播訊息來縮小範圍,因為網頁會變小。

Imperva 詳細說明,攻擊者會透過電子郵件或 SMS 向他們的目標發送一個鏈接,如果點擊該鏈接“會洩露有價值的訊息,例如目標的 IP 地址、用戶代理、設備詳細信息和軟體版本”。

然後,攻擊者將利用 OpenSea 的漏洞提取目標的 NFT 名稱,並將相應的錢包地址與透過原始鏈接發送的電子郵件或電話號碼等識別訊息相關聯。

Imperva 表示,OpenSea“迅速解決這個問題”並適當地限制圖書館的通信,並報告稱該平台“不再面臨此類攻擊的風險”。

該平台的用戶長期以來一直是模仿 OpenSea 功能進行攻擊的受害者,例如類似於該平台的釣魚網站或看似來自 OpenSea 的簽名請求。

由於 2022 年 2 月的一次重大網絡釣魚攻擊導致用戶價值超過 170 萬美元的 NFT 被盜,OpenSea 本身也因其平台安全性而受到批評。

至於最近的破洞,尚不清楚它存在多長時間,也不知道是否有用戶受到該漏洞的影響。

OpenSea 沒有立即回應 Cointelegraph 的置評請求。

原文

新增留言