El mercado de NFT OpenSea abordó recientemente una vulnerabilidad en su código que podría explotarse para filtrar datos de usuarios.
Imperva detecta vulnerabilidad en OpenSea
El 9 de marzo, la firma de ciberseguridad Imperva señaló una vulnerabilidad en el OpenSea plataforma. La firma publicó una publicación de blog que detalla sus hallazgos y afirmó que la vulnerabilidad planteaba serias amenazas de seguridad para los datos de los usuarios. Los actores maliciosos podrían explotar el error para descubrir información personal sobre los usuarios, como sus números de teléfono e ID de correo electrónico.
El equipo tuiteó,
"Imperva Red Team descubrió una vulnerabilidad de búsqueda entre sitios que afectaba al mercado de NFT OpenSea".
Esta vulnerabilidad permite la eliminación del anonimato de los usuarios, lo que podría revelar la identidad de un usuario.
Según el informe, los usuarios anónimos de OpenSea podrían revelarse manipulando este error y vinculando una dirección IP, una sesión de navegador o incluso un correo electrónico a un NFT. Como resultado, los compradores anónimos pueden correr el riesgo de que se exponga su identidad si se revela la dirección de la billetera criptográfica correspondiente en relación con la información recopilada de la dirección de identificación.
Causa raíz: mala configuración de la biblioteca
El informe analiza más a fondo la causa raíz del problema, identificando la configuración incorrecta de la biblioteca iFrame-resizer utilizada por el Plataforma NFT, que provocó la vulnerabilidad de búsqueda entre sitios. Esto significa que la plataforma había configurado incorrectamente una biblioteca que cambia el tamaño de los elementos de la página web al cargar contenido HTML desde otro lugar.
Esta función se utiliza para colocar anuncios, contenido interactivo o videos incrustados. Dado que la plataforma OpenSea no había restringido las comunicaciones de esta biblioteca, sería fácil para los piratas informáticos y otros actores maliciosos manipular la información transmitida y usarla como un "oráculo" para identificar objetivos.
Luego, podrían enviar al objetivo un enlace por correo electrónico o SMS. Si el objetivo hace clic en el enlace, se revelará su información personal, incluida su dirección IP, agente de usuario, detalles del dispositivo y versiones de software. La dirección de correo electrónico y el número de teléfono podrían haber actuado como mercados de identificación para permitir que el atacante acceda a los nombres de los NFT conectados al objetivo y su dirección de billetera correspondiente.
Preocupaciones de seguridad de OpenSea
Según se informa, el equipo de OpenSea ha abordado el problema al lanzar rápidamente un parche para corregir la vulnerabilidad. El equipo de Imperva confirmó que este parche restringe la comunicación entre orígenes y evitará futuras explotaciones, por lo que abordará con éxito la amenaza.
Sin embargo, esta no es la primera amenaza de seguridad que enfrenta OpenSea. En septiembre de 2021, la plataforma experimentó un error que resultó en la eliminación de NFT por valor de 28.44 ETH o 100,000 dólares. Un año después, en febrero de 2022, OpenSea fue atacado por un pirata informático que había robado varios NFT de alto valor de los usuarios de la plataforma.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability