Pasar token yang tidak dapat dipertukarkan OpenSea dilaporkan telah menambal kerentanan yang, jika dieksploitasi, dapat mengungkap informasi identitas tentang pengguna anonimnya.
Dalam posting blog 9 Maret, firma keamanan siber Imperva terperinci sebagai menemukan kerentananyang dikatakan dapat menganonimkan pengguna OpenSea “dengan menautkan alamat IP, sesi browser, atau email dalam kondisi tertentu” ke NFT.
Karena NFT sesuai dengan alamat dompet cryptocurrency, identitas asli pengguna dapat terungkap melalui informasi yang dikumpulkan dan ditautkan ke dompet dan aktivitasnya, jelas Imperva.
Tim Merah Imperva telah menemukan kerentanan pencarian lintas situs yang memengaruhi #NFT pasar #Di lepas pantai.
Kerentanan ini memungkinkan pengguna untuk tidak dianonimkan, berpotensi mengungkapkan identitas pengguna. https://t.co/nGQWceeGEc
—Imperva (@Imperva) 9 Maret 2023
Eksploitasi tersebut diyakini telah mengeksploitasi kerentanan pencarian lintas situs. Imperva mengatakan OpenSea telah salah mengonfigurasi perpustakaan yang menskalakan elemen halaman web yang memuat konten HTML dari tempat lain yang biasanya digunakan untuk menyisipkan iklan, konten interaktif, atau video tersemat.
Karena OpenSea tidak membatasi komunikasi perpustakaan ini, eksploit dapat menggunakan informasi yang disiarkannya sebagai “oracle” untuk mempersempitnya saat pencarian tidak memberikan hasil karena halaman web akan lebih kecil.
Imperva menjelaskan bahwa penyerang akan melakukannya mengirim tautan ke target mereka melalui email atau SMS, yang ketika diklik “mengungkapkan informasi berharga, seperti alamat IP target, agen pengguna, detail perangkat, dan versi perangkat lunak”.
Penyerang kemudian akan menggunakan kerentanan OpenSea untuk mengekstrak nama NFT target mereka dan mengaitkan alamat dompet yang sesuai dengan informasi pengenal seperti email atau nomor telepon yang dikirimi tautan asli.
Imperva mengatakan bahwa OpenSea “dengan cepat memperbaiki masalah” dan membatasi komunikasi perpustakaan secara memadai, melaporkan bahwa platform tersebut “tidak lagi berisiko dari serangan semacam itu”.
Terkait: Tim keamanan membuat dasbor untuk mendeteksi potensi serangan NFT di OpenSea
Pengguna platform telah lama menjadi korban serangan yang meniru fungsi OpenSea untuk melakukan eksploitasi, seperti situs web phishing yang terlihat seperti platform atau permintaan tanda tangan yang muncul berasal dari OpenSea.
OpenSea itu sendiri telah menghadapi kritik untuk keamanan platformnya berkat aa penipuan phishing besar pada Februari 2022, hal ini mengakibatkan NFT senilai lebih dari $1,7 juta dicuri dari pengguna.
Adapun tambalan baru-baru ini, tidak diketahui berapa lama itu ada atau apakah ada pengguna yang terpengaruh oleh eksploit tersebut.
OpenSea tidak segera menanggapi permintaan komentar dari Cointelegraph.