O mercado NFT OpenSea abordou recentemente uma vulnerabilidade em seu código que poderia ser explorada para vazar dados do usuário.
Imperva detecta vulnerabilidade OpenSea
Em 9 de março, a empresa de segurança cibernética Imperva apontou uma vulnerabilidade no OpenSea plataforma. A empresa publicou uma postagem no blog detalhando suas descobertas e afirmou que a vulnerabilidade representava sérias ameaças à segurança dos dados do usuário. Atores mal-intencionados podem explorar o bug para descobrir informações pessoais sobre os usuários, como seus números de telefone e IDs de e-mail.
A equipe tweetou,
“O Imperva Red Team descobriu uma vulnerabilidade de pesquisa entre sites que afeta o mercado NFT OpenSea.”
Essa vulnerabilidade permite a desanonimização dos usuários, revelando potencialmente a identidade de um usuário.
De acordo com o relatório, usuários anônimos do OpenSea podem ser descobertos manipulando esse bug e vinculando um endereço IP, uma sessão do navegador ou até mesmo um e-mail a um NFT. Como resultado, compradores anônimos podem arriscar ter sua identidade exposta se o endereço da carteira criptográfica correspondente for revelado em conexão com as informações coletadas do endereço de identificação.
Causa raiz - configuração incorreta da biblioteca
O relatório analisa ainda a causa raiz do problema, identificando a configuração incorreta da biblioteca iFrame-resizer usada pelo Plataforma NFT, o que causou a vulnerabilidade de pesquisa entre sites. Isso significa que a plataforma configurou incorretamente uma biblioteca que redimensiona os elementos da página da Web carregando conteúdo HTML de outro lugar.
Esse recurso é usado para colocar anúncios, conteúdo interativo ou vídeos incorporados. Como a plataforma OpenSea não restringiu as comunicações dessa biblioteca, seria fácil para hackers e outros agentes mal-intencionados manipular as informações transmitidas e usá-las como um “oráculo” para identificar alvos.
Eles poderiam enviar ao alvo um link por e-mail ou SMS. Se o alvo clicar no link, suas informações pessoais, incluindo endereço IP, agente do usuário, detalhes do dispositivo e versões de software, serão reveladas. O endereço de e-mail e o número de telefone podem ter atuado como mercados de identificação para permitir que o invasor acesse os nomes dos NFTs conectados ao alvo e seu endereço de carteira correspondente.
Preocupações de segurança da OpenSea
Alegadamente, a equipe OpenSea resolveu o problema lançando rapidamente um patch para corrigir a vulnerabilidade. A equipe da Imperva confirmou que este patch restringe a comunicação entre origens e impedirá a exploração futura, lidando com a ameaça com sucesso.
No entanto, esta não é a primeira ameaça de segurança enfrentada pela OpenSea. Em setembro de 2021, a plataforma apresentou um bug que resultou na exclusão de NFTs no valor de 28.44 ETH ou US$ 100,000. Avançando para um ano depois, em fevereiro de 2022, a OpenSea foi alvo de um hacker que havia roubado vários NFTs de alto valor dos usuários da plataforma.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability