Аналитики IT-студии Imperva раскрыли уязвимости OpenSea, которые открывали конфиденциальные данные пользователей площадки
Маркетплейс невзаимозаменяемых токенов (NFT) OpenSea подвергался XSS-скриптингу (Cross-Site Scripting), раскрывая конфиденциальные данные пользователей сервиса. Об этом у себя в блоге сообщили эксперты IT-студии Imperva.
По словам специалистов, уязвимость позволяла мошенникам узнавать IP-адреса жертв, привязав вредоносный код к NFT. Более того, злоумышленники могли заполучить такую информацию как email-жертвы, сессию браузера и адрес криптокошелька.
Выяснилось, что злоумышленники нашли лазейку в неправильной конфигурации веб-библиотеки iFrame-resizer, используемой OpenSea. С помощью уязвимости киберзлоумышленники создавали url-ловушки, переходя по которым жертва раскрывала свои данные. В Imperva заявили, что в OpenSea уже залатали дыру. Однако остается неясно, как много данных злоумышленники смогли перехватить таким способом (и перехватили ли вообще).
Маркетплейс и ранее страдал от различных дыр в системе безопасности. В октябре 2021 года площадка отчиталась о закрытии уязвимости, которая позволяла красть криптовалюту с помощью «зараженных» NFT. Заражение кошельков жертв происходило в случае взаимодействия с NFT-токеном в виде расширения .SVG. Например, если пользователь открывал изображение токена в новой вкладке.
До этого пользователи OpenSea лишились десятков NFT на сумму от $100 000 из-за еще одной уязвимости в коде площадки. Техническая брешь проявлялась при попытке перевода доменного имени .eth в формате NFT с серверов Ethereum Name Service на аккаунт OpenSea. По итогам перевода NFT отправлялся не на аккаунт пользователя, а на адрес 0x0000…0000edd899b, где бесповоротно «сжигался» сетью.
В январе 2022 года OpenSea стал жертвой хакерской атаки. По итогам операции хакеру удалось похитить с платформы 332 ETH (~$700 000 на тот момент). Впрочем, как именно злоумышленнику удалось осуществить атаку, до сих пор неясно. Как полагают аналитики PeckShield, схему, вероятно, провернули благодаря уязвимости в интерфейсе торговой площадки.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.