Der Nonfungible Token (NFT)-Marktplatz OpenSea hat Berichten zufolge eine Schwachstelle gepatcht, die bei Ausnutzung identifizierende Informationen über seine anonymen Benutzer preisgeben könnte.
In einem 9. März bloggenerläuterte das Cybersicherheitsunternehmen Imperva, wie es die Schwachstelle entdeckte, von der es behauptete, dass sie OpenSea-Benutzer „durch Verknüpfen einer IP-Adresse, einer Browsersitzung oder einer E-Mail unter bestimmten Bedingungen“ mit einem NFT deanonymisieren könnte.
Da die NFT einer Kryptowährungs-Wallet-Adresse entspricht, könnte die wahre Identität eines Benutzers aus den gesammelten und mit der Wallet und ihrer Aktivität verknüpften Informationen aufgedeckt werden, erklärte Imperva.
Das Imperva Red Team hat eine Cross-Site-Search-Schwachstelle entdeckt, die die #NFT Marktplatz #Offenes Meer.
Diese Schwachstelle ermöglicht die Deanonymisierung von Benutzern, wodurch möglicherweise die Identität eines Benutzers preisgegeben wird. https://t.co/nGQWceeGEc
— Imperva (@Imperva) 9. März 2023
Es wird davon ausgegangen, dass der Exploit eine Cross-Site-Search-Schwachstelle ausgenutzt hat. Imperva behauptete, OpenSea habe eine Bibliothek falsch konfiguriert, die die Größe von Webseitenelementen ändert, die HTML-Inhalte von anderswo laden, die normalerweise zum Platzieren von Anzeigen, interaktiven Inhalten oder eingebetteten Videos verwendet werden.
Da OpenSea die Kommunikation dieser Bibliothek nicht eingeschränkt hat, könnten Exploiter die von ihr gesendeten Informationen als „Orakel“ verwenden, um einzugrenzen, wenn Suchen keine Ergebnisse liefern, da die Webseite kleiner wäre.
Imperva führte aus, dass ein Angreifer seinem Ziel einen Link per E-Mail oder SMS senden würde, der beim Anklicken „wertvolle Informationen wie die IP-Adresse des Ziels, den Benutzeragenten, Gerätedetails und Softwareversionen preisgibt“.
Der Angreifer würde dann die Schwachstelle von OpenSea nutzen, um die NFT-Namen seines Ziels zu extrahieren und die entsprechende Wallet-Adresse mit identifizierenden Informationen wie einer E-Mail oder Telefonnummer zu verknüpfen, an die der ursprüngliche Link gesendet wurde.
Imperva sagte, OpenSea habe „das Problem schnell angegangen“ und die Kommunikation der Bibliothek ordnungsgemäß eingeschränkt und berichtet, dass die Plattform „nicht mehr durch solche Angriffe gefährdet“ sei.
Verwandt: Das Sicherheitsteam erstellt ein Dashboard, um potenzielle NFT-Hacks in OpenSea zu erkennen
Benutzer der Plattform sind seit langem Opfer von Angriffen, die die Funktionen von OpenSea nachahmen, um Exploits durchzuführen, wie z. B. Phishing-Websites, die der Plattform ähneln, oder Signaturanfragen, die scheinbar von OpenSea stammen.
OpenSea selbst wurde wegen seiner Plattformsicherheit aufgrund eines großen Phishing-Angriffs im Februar 2022 kritisiert, der dazu führte, dass NFTs im Wert von über 1,7 Millionen US-Dollar von Benutzern gestohlen wurden.
Was den jüngsten Patch betrifft, ist nicht bekannt, wie lange er existierte oder ob Benutzer von dem Exploit betroffen waren.
OpenSea reagierte nicht sofort auf die Bitte von Cointelegraph um einen Kommentar.