अपूरणीय टोकन (NFT) मार्केटप्लेस OpenSea ने कथित तौर पर एक भेद्यता को पैच किया है, जिसका यदि शोषण किया जाता है, तो इसके अनाम उपयोगकर्ताओं के बारे में जानकारी की पहचान उजागर हो सकती है।
9 मार्च में ब्लॉग, साइबर सुरक्षा फर्म इंपर्वा ने विस्तार से बताया कि यह कैसे भेद्यता का पता चला जो यह दावा करता है कि OpenSea उपयोगकर्ताओं को "एक IP पता, एक ब्राउज़र सत्र, या कुछ स्थितियों में एक ईमेल" को एक NFT से जोड़कर डीन किया जा सकता है।
जैसा कि एनएफटी एक क्रिप्टोक्यूरेंसी वॉलेट पते से मेल खाता है, एक उपयोगकर्ता की वास्तविक पहचान एकत्र की गई जानकारी से प्रकट हो सकती है और वॉलेट और इसकी गतिविधि से जुड़ी हुई है, इंपर्वा ने समझाया।
इंपर्वा रेड टीम ने प्रभावित करने वाली एक क्रॉस-साइट खोज भेद्यता की खोज की # एनएफटी बाजार #खुला समुद्र.
यह भेद्यता संभावित रूप से उपयोगकर्ता की पहचान का खुलासा करते हुए, उपयोगकर्ताओं के गुमनामी की अनुमति देती है। https://t.co/nGQWceeGEc
- इम्परवा (@Imperva) मार्च २०,२०२१
समझा जाता है कि शोषण ने क्रॉस-साइट खोज भेद्यता का लाभ उठाया है। Imperva ने दावा किया कि OpenSea ने एक लाइब्रेरी को गलत तरीके से कॉन्फ़िगर किया है जो वेबपेज तत्वों का आकार बदलता है जो HTML सामग्री को कहीं और से लोड करता है जो आमतौर पर विज्ञापनों, इंटरैक्टिव सामग्री या एम्बेडेड वीडियो को रखने के लिए उपयोग किया जाता है।
जैसा कि OpenSea ने इस पुस्तकालय के संचार को प्रतिबंधित नहीं किया है, शोषक उस जानकारी का उपयोग कर सकते हैं जो इसे "ओरेकल" के रूप में प्रसारित करता है, जब खोज कोई परिणाम नहीं देती है क्योंकि वेबपेज छोटा होगा।
इंपर्वा ने विस्तार से बताया कि एक हमलावर होगा उनके लक्ष्य को एक लिंक भेजें ईमेल या एसएमएस के माध्यम से जिसे क्लिक करने पर "बहुमूल्य जानकारी का पता चलता है, जैसे लक्ष्य का आईपी पता, उपयोगकर्ता एजेंट, डिवाइस विवरण और सॉफ़्टवेयर संस्करण।"
हमलावर तब OpenSea की भेद्यता का उपयोग अपने लक्ष्य के NFT नामों को निकालने के लिए करेगा और संबंधित वॉलेट पते को ईमेल या फोन नंबर जैसी पहचान वाली जानकारी के साथ जोड़ देगा जिसे मूल लिंक भेजा गया था।
इंपर्वा ने कहा कि ओपनसी ने "मुद्दे को तुरंत संबोधित किया" और पुस्तकालय के संचार को उचित रूप से प्रतिबंधित कर दिया और मंच को "इस तरह के हमलों का खतरा नहीं था।"
संबंधित: सुरक्षा दल OpenSea में संभावित NFT हैक का पता लगाने के लिए डैशबोर्ड बनाता है
प्लेटफ़ॉर्म के उपयोगकर्ता लंबे समय से ऐसे हमलों के शिकार हुए हैं जो ओपनसी के कार्यों की नकल करने के लिए शोषण करते हैं, जैसे कि फ़िशिंग वेबसाइटें जो प्लेटफ़ॉर्म से मिलती-जुलती हैं या हस्ताक्षर अनुरोध दिखाई दे रहे हैं OpenSea से आरंभ करने के लिए।
ओपनसी ही आलोचना का सामना करना पड़ा है इसके प्लेटफॉर्म की सुरक्षा के लिए a प्रमुख फ़िशिंग हमला फरवरी 2022 में जिसके परिणामस्वरूप उपयोगकर्ताओं से 1.7 मिलियन डॉलर से अधिक मूल्य के एनएफटी चोरी हो गए।
जहां तक हाल के पैच की बात है, यह अज्ञात है कि यह कितने समय से अस्तित्व में है या यदि कोई उपयोगकर्ता शोषण से प्रभावित हुआ है।
OpenSea ने टिप्पणी के लिए कॉइन्टेग्राफ के अनुरोध का तुरंत जवाब नहीं दिया।
स्रोत: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities