СОДЕРЖАНИЕ

  • В OpenSea залатали очередную дыру
  • Уязвимость позволяла злоумышленникам заполучать конфиденциальные данные жертв
  • Схему проворачивали с помощью вредоносной url-ссылки
  • promo

Аналитики IT-студии Imperva раскрыли уязвимости OpenSea, которые открывали конфиденциальные данные пользователей площадки

Маркетплейс невзаимозаменяемых токенов (NFT) OpenSea подвергался XSS-скриптингу (Cross-Site Scripting), раскрывая конфиденциальные данные пользователей сервиса. Об этом у себя в блоге сообщили эксперты IT-студии Imperva.

По словам специалистов, уязвимость позволяла мошенникам узнавать IP-адреса жертв, привязав вредоносный код к NFT. Более того, злоумышленники могли заполучить такую информацию как email-жертвы, сессию браузера и адрес криптокошелька.

Выяснилось, что злоумышленники нашли лазейку в неправильной конфигурации веб-библиотеки iFrame-resizer, используемой OpenSea. С помощью уязвимости киберзлоумышленники создавали url-ловушки, переходя по которым жертва раскрывала свои данные. В Imperva заявили, что в OpenSea уже залатали дыру. Однако остается неясно, как много данных злоумышленники смогли перехватить таким способом (и перехватили ли вообще).

Маркетплейс и ранее страдал от различных дыр в системе безопасности. В октябре 2021 года площадка отчиталась о закрытии уязвимости, которая позволяла красть криптовалюту с помощью «зараженных» NFT. Заражение кошельков жертв происходило в случае взаимодействия с NFT-токеном в виде расширения .SVG. Например, если пользователь открывал изображение токена в новой вкладке.

До этого пользователи OpenSea лишились десятков NFT на сумму от $100 000 из-за еще одной уязвимости в коде площадки. Техническая брешь проявлялась при попытке перевода доменного имени .eth в формате NFT с серверов Ethereum Name Service на аккаунт OpenSea. По итогам перевода NFT отправлялся не на аккаунт пользователя, а на адрес 0x0000…0000edd899b, где бесповоротно «сжигался» сетью.

В январе 2022 года OpenSea стал жертвой хакерской атаки. По итогам операции хакеру удалось похитить с платформы 332 ETH (~$700 000 на тот момент). Впрочем, как именно злоумышленнику удалось осуществить атаку, до сих пор неясно. Как полагают аналитики PeckShield, схему, вероятно, провернули благодаря уязвимости в интерфейсе торговой площадки. 

🎄Топ криптоплатформ | Декабрь 2024
🎄Топ криптоплатформ | Декабрь 2024
🎄Топ криптоплатформ | Декабрь 2024

Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.

2167c714-82e6-49de-8f9c-ea512025eb67.jpg
Денис Омельченко
Новостной корреспондент рынка криптовалютных активов и блокчейна с 2016 года. Колумнист новостного отдела Currency.com и новостной репортер англоязычного издания iHodl.com. Обозревал блокчейн-стартапы для криптокошелька Atomic Wallet и поддерживал развитие сообщества криптовалютного проекта Amoveo в качестве SMM-менеджера.
READ FULL BIO
Sponsored
Sponsored