OpenSea पैच संभावित रूप से गंभीर भेद्यता

NFT मार्केटप्लेस OpenSea ने हाल ही में अपने कोड में एक भेद्यता को संबोधित किया जिसका उपयोग उपयोगकर्ता डेटा लीक करने के लिए किया जा सकता है। 

इंपर्वा ओपनसी भेद्यता का पता लगाता है

9 मार्च को साइबर सिक्योरिटी फर्म इंपर्वा ने एक भेद्यता की ओर इशारा किया OpenSea प्लैटफ़ॉर्म। फर्म ने अपने निष्कर्षों का विवरण देते हुए एक ब्लॉग पोस्ट प्रकाशित किया और दावा किया कि भेद्यता ने उपयोगकर्ता डेटा के लिए गंभीर सुरक्षा खतरे उत्पन्न किए हैं। दुर्भावनापूर्ण अभिनेता उपयोगकर्ताओं के बारे में व्यक्तिगत जानकारी, जैसे उनके फोन नंबर और ईमेल आईडी को उजागर करने के लिए बग का फायदा उठा सकते हैं। 

टीम ने ट्वीट किया, 

"इम्पर्व रेड टीम ने NFT मार्केटप्लेस OpenSea को प्रभावित करने वाली एक क्रॉस-साइट खोज भेद्यता की खोज की।"

यह भेद्यता संभावित रूप से उपयोगकर्ता की पहचान का खुलासा करते हुए, उपयोगकर्ताओं के गुमनामी की अनुमति देती है।

रिपोर्ट के अनुसार, अज्ञात OpenSea उपयोगकर्ताओं को इस बग में हेरफेर करके और एक IP पता, एक ब्राउज़र सत्र, या यहां तक ​​कि एक ईमेल को एक NFT से जोड़कर अनावरण किया जा सकता है। नतीजतन, अज्ञात खरीदार अपनी पहचान उजागर करने का जोखिम उठा सकते हैं यदि पहचान पते से एकत्रित जानकारी के संबंध में संबंधित क्रिप्टो वॉलेट पता प्रकट होता है। 

रूट-कारण - लाइब्रेरी मिसकॉन्फ़िगरेशन

रिपोर्ट आगे मामले के मूल कारण का विश्लेषण करती है, iFrame-Resizer लाइब्रेरी द्वारा उपयोग की जाने वाली गलत कॉन्फ़िगरेशन की पहचान करती है एनएफटी मंच, जो क्रॉस-साइट खोज भेद्यता का कारण बना। इसका मतलब है कि प्लेटफ़ॉर्म ने एक लाइब्रेरी को गलत तरीके से कॉन्फ़िगर किया था जो एचटीएमएल सामग्री को कहीं और से लोड करने वाले वेबपेज तत्वों का आकार बदलता है। 

इस सुविधा का उपयोग विज्ञापन, इंटरएक्टिव सामग्री या एम्बेड किए गए वीडियो को रखने के लिए किया जाता है। चूंकि OpenSea प्लेटफॉर्म ने इस पुस्तकालय के संचार को प्रतिबंधित नहीं किया था, इसलिए हैकर्स और अन्य दुर्भावनापूर्ण अभिनेताओं के लिए प्रसारित सूचनाओं में हेरफेर करना और लक्ष्य को इंगित करने के लिए इसे "ओरेकल" के रूप में उपयोग करना आसान होगा। 

फिर वे लक्ष्य को ईमेल या एसएमएस के माध्यम से एक लिंक भेज सकते थे। यदि लक्ष्य लिंक पर क्लिक करता है, तो उनकी व्यक्तिगत जानकारी, उनके आईपी पते, उपयोगकर्ता एजेंट, डिवाइस विवरण और सॉफ़्टवेयर संस्करणों सहित प्रकट हो जाएगी। ईमेल पता और फोन नंबर हमलावरों को लक्ष्य से जुड़े एनएफटी के नाम और उनके संबंधित वॉलेट पते तक पहुंचने की अनुमति देने के लिए पहचान वाले बाजारों के रूप में कार्य कर सकते थे। 

ओपनसी की सुरक्षा चिंताएं

कथित तौर पर OpenSea टीम ने भेद्यता को ठीक करने के लिए पैच जारी करके समस्या का समाधान किया है। इंपर्वा टीम ने पुष्टि की कि यह पैच क्रॉस-ऑरिजिन संचार को प्रतिबंधित करता है और भविष्य के शोषण को रोकेगा, इस प्रकार खतरे को सफलतापूर्वक संबोधित करेगा। 

हालाँकि, यह OpenSea द्वारा सामना किया गया पहला सुरक्षा खतरा नहीं है। सितंबर 2021 में, प्लेटफ़ॉर्म में एक बग का अनुभव हुआ जिसके परिणामस्वरूप एनएफटी का विलोपन मूल्य 28.44 ETH या $100,000। एक साल बाद, फरवरी 2022 में, OpenSea को एक हैकर ने निशाना बनाया, जिसने कई चोरी की थी उच्च मूल्य एनएफटी मंच के उपयोगकर्ताओं से। 

अस्वीकरण: यह लेख केवल सूचना के उद्देश्यों के लिए प्रदान किया गया है। यह कानूनी, कर, निवेश, वित्तीय, या अन्य सलाह के रूप में इस्तेमाल करने की पेशकश या इरादा नहीं है।