O mercado de tokens não fungíveis (NFT) OpenSea corrigiu uma vulnerabilidade que, se explorada, poderia expor informações de identificação sobre seus usuários anônimos.
Em 9 de março blog, a empresa de segurança cibernética Imperva detalhou como descobriu a vulnerabilidade que alegou que poderia remover o anonimato dos usuários do OpenSea “vinculando um endereço IP, uma sessão do navegador ou um e-mail em certas condições” a um NFT.
Como o NFT corresponde a um endereço de carteira de criptomoeda, a identidade real de um usuário pode ser revelada a partir das informações coletadas e vinculadas à carteira e sua atividade, explicou a Imperva.
A Imperva Red Team descobriu uma vulnerabilidade de pesquisa entre sites que afetava o #NFT marketplace #Mar aberto.
Essa vulnerabilidade permite a desanonimização dos usuários, revelando potencialmente a identidade de um usuário. https://t.co/nGQWceeGEc
-Imperva (@Imperva) 9 de março de 2023
Entende-se que a exploração aproveitou uma vulnerabilidade de pesquisa entre sites. A Imperva alegou que o OpenSea configurou incorretamente uma biblioteca que redimensiona os elementos da página da web que carregam conteúdo HTML de outro lugar, normalmente usado para colocar anúncios, conteúdo interativo ou vídeos incorporados.
Como o OpenSea não restringiu as comunicações desta biblioteca, os exploradores poderiam usar as informações que ela transmite como um “oráculo” para restringir quando as pesquisas não retornarem resultados, pois a página da web seria menor.
A Imperva detalhou que um invasor enviar ao alvo um link por e-mail ou SMS que, se clicado, “revela informações valiosas, como endereço IP do alvo, agente do usuário, detalhes do dispositivo e versões de software”.
O invasor usaria a vulnerabilidade do OpenSea para extrair os nomes NFT de seu alvo e associar o endereço da carteira correspondente com informações de identificação, como um e-mail ou número de telefone que foi enviado no link original.
A Imperva disse que a OpenSea “resolveu rapidamente o problema” e restringiu adequadamente as comunicações da biblioteca e relatou que a plataforma “não corria mais o risco de tais ataques”.
Relacionado: Equipe de segurança cria painel para detectar possíveis hacks de NFT no OpenSea
Os usuários da plataforma há muito são vítimas de ataques que imitam as funções do OpenSea para realizar exploits, como sites de phishing que se assemelham à plataforma ou pedidos de assinatura aparecendo originar da OpenSea.
O próprio OpenSea enfrentou críticas para a segurança de sua plataforma devido a um grande ataque de phishing em fevereiro de 2022, que resultou no roubo de mais de $ 1.7 milhão em NFTs dos usuários.
Quanto ao patch recente, não se sabe há quanto tempo ele existe ou se algum usuário foi afetado pelo exploit.
A OpenSea não respondeu imediatamente ao pedido de comentário da Cointelegraph.
Fonte: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities