- La laguna en OpenSea cuando se explotó con éxito podría haber permitido al atacante obtener las identidades de los usuarios.
- OpenSea solucionó rápidamente el problema después de que la vulnerabilidad saliera a la luz.
Empresa de ciberseguridad Imperva detectó una vulnerabilidad importante en el mercado popular de NFT OpenSea, que cuando se explota con éxito, podría permitir al atacante obtener las identidades de los usuarios en la plataforma.
Según Imperva, la mala configuración de la biblioteca iFrame-resizer utilizada por OpenSea fue la razón principal detrás de la vulnerabilidad.
Al proporcionar más detalles sobre el mecanismo de explotación del problema, Imperva afirmó que el atacante enviaría un enlace por correo electrónico o SMS.
Si la víctima hace clic en el enlace, se recuperará información vital como la dirección IP del objetivo, el agente de usuario, los detalles del dispositivo y las versiones del software.
La vulnerabilidad de búsqueda entre sitios se explotaría para obtener los nombres NFT del objetivo y el atacante asociaría la dirección de billetera pública/NFT filtrada con el correo electrónico o el número de teléfono al que se envió inicialmente el enlace.
Sin embargo, el informe de Imperva mencionó que OpenSea había solucionado el problema después de que se informara y que el mercado ya no estaba en riesgo de tales ataques.
pasado contaminado
OpenSea se ha enfrentado a serias preocupaciones sobre la seguridad de la plataforma en el pasado. En febrero de 2022, estuvo en el centro de uno de los mayores ataques en el ecosistema NFT.
Durante el exploit, se robaron $ 1.7 millones en NFT de las billeteras de los usuarios. La violación fue reconocida por el CEO de OpenSea, Devin Finzer.
Otra actualización: en las últimas horas hemos hablado con docenas de personas, equipos y proyectos en todo el espacio NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Febrero 20, 2022
En menos de tres meses, el mercado fue golpeado nuevamente cuando su el canal de discord fue comprometido. Los piratas informáticos publicaron una noticia falsa de colaboración de YouTube que incluía un enlace a un sitio de phishing.
El impacto de los ataques hizo que OpenSea tomara medidas concretas para salvaguardar a sus usuarios. El mes pasado, introdujo un periodo de gracia de tres horas durante las cuales se impedirá a los vendedores aceptar ofertas tras una supuesta venta.
Disminuye la actividad comercial
Mientras tanto, OpenSea experimentó una caída significativa en la actividad comercial en la plataforma desde mediados de febrero. El comercio semanal de NFT cayó un 40% hasta el momento de la publicación, según datos de Token Terminal.
Como consecuencia de esto, las regalías pagadas a los creadores también disminuyeron. Las tarifas semanales del lado de la oferta se desplomaron un 40 % en el momento de escribir este artículo, lo que podría disuadir a los creadores interesados de incluir su trabajo en el mercado.
Fuente: Token Terminal
OpenSea había sido duramente golpeado debido a la Desenfocar [DESENFOQUE] tormenta que arrasó el ecosistema del mercado NFT. Según los datos de Dune Analytics, la participación de OpenSea en el volumen total de operaciones en todos los mercados se redujo al 26 %.
Sin embargo, logró mantener una parte significativa de la base de usuarios y el número total de ventas, con un dominio del 62.8 % y el 51 %, respectivamente.
Fuente: Dune Analytics
Fuente: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/