Pasar nonfungible token (NFT) OpenSea dilaporkan telah menambal kerentanan yang, jika dieksploitasi, dapat mengungkapkan informasi identitas tentang pengguna anonimnya.
Dalam 9 Maret blog, firma keamanan siber Imperva merinci caranya menemukan kerentanan yang diklaim dapat mendeanonimkan pengguna OpenSea “dengan menautkan alamat IP, sesi browser, atau email dalam kondisi tertentu” ke NFT.
Karena NFT sesuai dengan alamat dompet cryptocurrency, identitas asli pengguna dapat terungkap dari informasi yang dikumpulkan dan ditautkan ke dompet dan aktivitasnya, jelas Imperva.
Tim Merah Imperva menemukan kerentanan pencarian lintas situs yang memengaruhi #NFT pasar #Laut Terbuka.
Kerentanan ini memungkinkan deanonimisasi pengguna, berpotensi mengungkapkan identitas pengguna. https://t.co/nGQWceeGEc
— Imperva (@Imperva) 9 Maret, 2023
Eksploitasi dipahami telah mengambil keuntungan dari kerentanan pencarian lintas situs. Imperva mengklaim OpenSea telah salah mengonfigurasi perpustakaan yang mengubah ukuran elemen halaman web yang memuat konten HTML dari tempat lain yang biasanya digunakan untuk menempatkan iklan, konten interaktif, atau video tersemat.
Karena OpenSea tidak membatasi komunikasi perpustakaan ini, pengeksploitasi dapat menggunakan informasi yang disiarkannya sebagai "oracle" untuk mempersempit ketika pencarian tidak memberikan hasil karena halaman web akan lebih kecil.
Imperva merinci bahwa penyerang akan melakukannya mengirim tautan ke target mereka melalui email atau SMS yang jika diklik "mengungkapkan informasi berharga, seperti alamat IP target, agen pengguna, detail perangkat, dan versi perangkat lunak."
Penyerang kemudian akan menggunakan kerentanan OpenSea untuk mengekstrak nama NFT target mereka dan mengaitkan alamat dompet yang sesuai dengan informasi pengenal seperti email atau nomor telepon yang dikirim ke tautan asli.
Imperva mengatakan OpenSea "dengan cepat mengatasi masalah ini" dan membatasi komunikasi perpustakaan dengan benar dan melaporkan platform tersebut "tidak lagi berisiko terhadap serangan semacam itu."
Terkait: Tim keamanan membuat dasbor untuk mendeteksi potensi peretasan NFT di OpenSea
Pengguna platform telah lama menjadi korban serangan yang meniru fungsi OpenSea untuk melakukan eksploitasi, seperti situs web phishing yang menyerupai platform atau permintaan tanda tangan muncul berasal dari OpenSea.
OpenSea itu sendiri telah menghadapi kritik untuk keamanan platformnya karena a serangan phishing besar pada Februari 2022 yang mengakibatkan NFT senilai lebih dari $1.7 juta dicuri dari pengguna.
Adapun tambalan baru-baru ini, tidak diketahui sudah berapa lama atau apakah ada pengguna yang terpengaruh oleh eksploit tersebut.
OpenSea tidak segera menanggapi permintaan Cointelegraph untuk berkomentar.
Sumber: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities