OpenSea آسیب پذیری هایی را اصلاح می کند که به طور بالقوه کاربران را در معرض دید قرار می دهد

امیر کرمی
مارس 13, 2023
7:38 ق.ظ
بدون نظر
بازدید: 187

شرکت امنیت سایبری Imperva یک آسیب‌پذیری پیدا کرده است که می‌توان از آن برای افشای اطلاعات کاربران مانند آدرس‌های ایمیل و شماره تلفن استفاده کرد که در حال حاضر اصلاح شده است.

گزارش شده است که بازار توکن غیرقابل تغییر (NFT) OpenSea آسیب‌پذیری را اصلاح کرده است که در صورت سوء استفاده، می‌تواند اطلاعات شناسایی کاربران ناشناس خود را آشکار کند.

در یک پست وبلاگی در 9 مارس، شرکت امنیت سایبری Imperva توضیح داد که چگونه این آسیب‌پذیری را کشف کرده است، که ادعا می‌کند می‌تواند ناشناس بودن کاربران OpenSea را «با پیوند دادن یک آدرس IP، یک جلسه مرورگر یا، تحت شرایط خاص، یک ایمیل به یک NFT» از بین ببرد.

Imperva توضیح داد که از آنجایی که NFT با آدرس کیف پول ارزهای دیجیتال مطابقت دارد، هویت واقعی کاربر ممکن است از اطلاعات جمع‌آوری‌شده و مرتبط با کیف پول و فعالیت‌های او پدیدار شود.

تیم Imperva Red یک آسیب پذیری جستجوی بین سایتی را کشف کرد که بر وب سایت ها تأثیر می گذارد. #NFT محل بازار #دریایی.

این آسیب‌پذیری به طور بالقوه هویت کاربر را آشکار می‌کند و به کاربران اجازه می‌دهد ناشناس باشند. https://t.co/nGQWceeGEc

— Imperva (@Imperva) 9 مارس 2023

به نظر می رسد این اکسپلویت از یک آسیب پذیری جستجوی بین سایتی سوء استفاده می کند. Imperva ادعا کرد که OpenSea کتابخانه ای را که اندازه عناصر صفحه وب را که محتوای HTML را از جاهای دیگر بارگیری می کند، تغییر اندازه می دهد، که اغلب برای جاسازی تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده می شود، پیکربندی اشتباهی انجام داده است.

از آنجایی که OpenSea ارتباطات این کتابخانه را محدود نکرده است، بهره‌برداران می‌توانند از اطلاعات منتشر شده کتابخانه به‌عنوان یک «پیش‌گویی» برای محدود کردن جستجوها در زمانی که جستجوها صفحه وب کوچک‌تری به دست می‌آورد، استفاده کنند.

Imperva توضیح داد که یک مهاجم پیوندی را از طریق ایمیل یا پیامک به هدف خود ارسال می کند که با کلیک بر روی آن “اطلاعات ارزشمندی مانند آدرس IP هدف، عامل کاربر، جزئیات دستگاه و نسخه های نرم افزار را نشان می دهد.”

*اسکرین شات از صفحه اول OpenSea. منبع: Offshore*

سپس مهاجم از آسیب پذیری OpenSea برای استخراج نام NFT هدف خود سوء استفاده می کند و آدرس کیف پول مربوطه را با اطلاعات شناسایی مانند ایمیل یا شماره تلفنی که لینک اصلی از آن ارسال شده است مرتبط می کند.

Imperva گزارش می دهد که OpenSea “به سرعت به این موضوع رسیدگی می کند” و ارتباطات کتابخانه را به طور مناسب محدود می کند، و این پلت فرم دیگر “در معرض خطر چنین حملاتی نیست.”

مرتبط با: تیم امنیتی داشبوردی را برای شناسایی حملات احتمالی NFT در OpenSea می‌سازد

کاربران این پلتفرم مدت‌هاست قربانی حملاتی شده‌اند که عملکردهای سوء استفاده‌کننده OpenSea را تقلید می‌کنند، مانند وب‌سایت‌های فیشینگ شبیه پلتفرم یا درخواست‌های امضایی که به نظر می‌رسد از OpenSea می‌آیند.

پس از یک حمله فیشینگ گسترده که منجر به سرقت 1.7 میلیون دلار NFT از کاربران در فوریه 2022 شد، OpenSea به دلیل امنیت پلتفرم خود مورد انتقاد قرار گرفت.

در مورد آخرین وصله، مشخص نیست که چه مدت وجود دارد یا اینکه آیا کاربرانی تحت تأثیر این اکسپلویت قرار گرفته اند یا خیر.

OpenSea بلافاصله به درخواست Cointelegraph برای اظهار نظر پاسخ نداد.

نویسنده: Jesse Coghlan

اشتراک گذاری و حمایت

امیر کرمی

کارشناس تولید محتوا و علاقه مند به ارز دیجیتال و دنیای فناوری 😉

دیدگاهتان را بنویسید لغو پاسخ

برای نوشتن دیدگاه باید وارد بشوید.