NFT(Nonfungible Token) 시장 OpenSea는 악용될 경우 익명 사용자에 대한 식별 정보를 노출할 수 있는 취약점을 패치한 것으로 알려졌습니다.
9월 XNUMX일 블로그, 사이버 보안 회사인 Imperva는 취약점을 발견했습니다 NFT에 "특정 조건에서 IP 주소, 브라우저 세션 또는 이메일을 연결하여" OpenSea 사용자를 비익명화할 수 있다고 주장했습니다.
NFT는 암호화폐 지갑 주소에 해당하기 때문에 수집되고 지갑과 그 활동에 연결된 정보에서 사용자의 실제 신원이 드러날 수 있다고 Imperva는 설명했습니다.
Imperva Red Team은 사이트 간 검색 취약점을 발견했습니다. #NFT 시장 # 오픈 씨.
이 취약점은 사용자의 비익명화를 허용하여 잠재적으로 사용자의 신원을 드러냅니다. https://t.co/nGQWceeGEc
— 임페르바(@Imperva) 2023 년 3 월 9 일
해당 익스플로잇은 교차 사이트 검색 취약점을 이용한 것으로 파악됩니다. Imperva는 OpenSea가 일반적으로 광고, 대화형 콘텐츠 또는 삽입된 비디오를 배치하는 데 사용되는 다른 곳에서 HTML 콘텐츠를 로드하는 웹 페이지 요소의 크기를 조정하는 라이브러리를 잘못 구성했다고 주장했습니다.
OpenSea가 이 라이브러리의 통신을 제한하지 않았기 때문에 악용자는 "오라클"로 브로드캐스트하는 정보를 사용하여 웹 페이지가 더 작아지기 때문에 검색 결과가 반환되지 않을 때 범위를 좁힐 수 있습니다.
Imperva는 공격자가 대상에게 링크 보내기 이메일 또는 SMS를 통해 클릭하면 "대상의 IP 주소, 사용자 에이전트, 장치 세부 정보 및 소프트웨어 버전과 같은 중요한 정보가 나타납니다."
그런 다음 공격자는 OpenSea의 취약점을 사용하여 대상의 NFT 이름을 추출하고 해당 지갑 주소를 원래 링크를 보낸 이메일 또는 전화 번호와 같은 식별 정보와 연결합니다.
Imperva는 OpenSea가 "신속하게 문제를 해결"하고 도서관의 통신을 적절하게 제한했으며 플랫폼이 "더 이상 그러한 공격의 위험에 처하지 않았다"고 보고했습니다.
관련 : 보안 팀은 OpenSea에서 잠재적인 NFT 해킹을 탐지하기 위해 대시보드를 생성합니다.
플랫폼 사용자는 오랫동안 OpenSea의 기능을 모방하여 플랫폼과 유사한 피싱 웹사이트 또는 서명 요청 표시 OpenSea에서 시작합니다.
OpenSea 자체 비판에 직면했다 플랫폼 보안을 위해 대규모 피싱 공격 2022년 1.7월에 이로 인해 사용자로부터 XNUMX만 달러 이상의 NFT가 도난당했습니다.
최근 패치에 관해서는 그것이 얼마나 오래 존재했는지 또는 어떤 사용자가 익스플로잇의 영향을 받았는지 알 수 없습니다.
OpenSea는 Cointelegraph의 논평 요청에 즉시 응답하지 않았습니다.
출처: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities