OpenSea, bisa dibilang pasar paling populer di dunia untuk non-fungible token (NFT) membawa kerentanan yang memungkinkan peretas untuk mendeanonimkan pengguna dan bahkan mungkin mengungkapkan identitas lengkap mereka.
Ini menurut laporan baru dari peneliti keamanan siber bagian dari Tim Merah di Imperva (terbuka di tab baru)yang memberi tahu OpenSea, dan kemudian mengonfirmasi bahwa kerentanan telah ditangani dengan benar.
Dalam posting blog yang merinci temuan tersebut, para peneliti Imperva mengatakan bahwa situs web OpenSea membawa kerentanan pencarian lintas situs, karena tidak membatasi komunikasi lintas asal. Akar masalahnya adalah perpustakaan pengubah ukuran iFrame.
Mengekspos pemilik NFT
Para peneliti menjelaskan: “Perpustakaan iFrame-resizer menyiarkan lebar dan tinggi halaman, yang dapat digunakan sebagai “ramalan” untuk menentukan kapan pencarian yang diberikan memberikan hasil karena halaman lebih kecil ketika pencarian tidak memberikan hasil. Dengan terus mencari aset pengguna, yang dilakukan lintas asal melalui tab atau sembulan, penyerang dapat membocorkan nama NFT yang dibuat oleh pengguna, sehingga mengungkap alamat dompet publik mereka. Informasi ini dapat mengaitkan identitas pengguna (terbuka di tab baru) dengan NFT yang bocor dan alamat dompet publik.”
Akibatnya, identitas para korban mungkin terungkap, para peneliti menyimpulkan.
Untuk mengeksploitasi kelemahan tersebut, penyerang dapat mengirim tautan ke korban, baik melalui email, SMS, atau saluran komunikasi lainnya. Dengan mengklik tautan tersebut, korban mengungkapkan informasi berharga seperti alamat IP, agen pengguna, detail perangkat, versi perangkat lunak, iklan serupa.
Selanjutnya, penyerang akan mengeksploitasi kerentanan pencarian lintas situs untuk mengekstrak salah satu nama NFT target. Dan dengan mengaitkan alamat NFT/dompet publik yang bocor dengan target, penyerang dapat mengungkap identitas asli korban.
Setelah mengungkapkan kelemahan tersebut ke pasar, OpenSea “dengan cepat” merilis sebuah tambalan, kata para peneliti. Cacat itu diatasi dengan membatasi komunikasi lintas asal, sehingga mengurangi risiko eksploitasi lebih lanjut, simpul mereka.
Posted By : pengeluaran hk
