Công ty an ninh mạng Imperva phát hiện lỗ hổng bảo mật trên OpenSea, gây nguy cơ rò rỉ thông tin người dùng như địa chỉ email và số điện thoại. Lỗ hổng đã được vá nhưng nếu bị khai thác có thể làm lộ thông tin người dùng ẩn danh trên NFT.
Imperva đã đăng bài viết trên blog vào ngày 9 tháng 3 để trình bày chi tiết về cách phát hiện lỗ hổng bảo mật. Theo đó, thông tin nhận dạng của người dùng OpenSea có thể bị khử tên bằng cách liên kết địa chỉ IP, phiên trình duyệt hoặc email trong một số điều kiện nhất định với NFT. Vì NFT tương ứng với một địa chỉ ví tiền điện tử, danh tính thực của người dùng có thể bị tiết lộ từ thông tin được thu thập và liên kết với ví và hoạt động của nó.
Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.
This vulnerability allows for the deanonymization of users, potentially revealing a user’s identity. https://t.co/nGQWceeGEc
— Imperva (@Imperva) March 9, 2023
Việc khai thác thông tin là việc sử dụng lỗ hổng tìm kiếm trên nhiều trang web. Imperva đã thông báo rằng OpenSea đã cấu hình sai thư viện thay đổi kích thước các phần tử trang web tải nội dung HTML từ nơi khác thường được sử dụng để đặt quảng cáo, nội dung tương tác hoặc video được nhúng.
Bởi vì OpenSea không hạn chế thông tin liên lạc của thư viện này, những kẻ khai thác có thể sử dụng thông tin mà thư viện này phát đi dưới dạng “tiên tri” để thu hẹp phạm vi khi các tìm kiếm không trả lại kết quả nào vì trang web sẽ nhỏ hơn.
Imperva đã đưa ra chi tiết rằng kẻ tấn công sẽ gửi cho mục tiêu của họ một liên kết qua email hoặc SMS, liên kết này nếu được nhấp vào sẽ “tiết lộ thông tin có giá trị, chẳng hạn như địa chỉ IP của mục tiêu, tác nhân người dùng, chi tiết thiết bị và phiên bản phần mềm”.
Sau đó, kẻ tấn công đã sử dụng lỗ hổng của OpenSea để lấy thông tin về tên NFT và địa chỉ ví tương ứng của mục tiêu từ liên kết được gửi qua email hoặc số điện thoại.
Imperva cho biết OpenSea đã khắc phục vấn đề nhanh chóng và hạn chế thông tin liên lạc của thư viện một cách hợp lý, và bảo đảm rằng nền tảng không còn bị tấn công như thế nữa.
Trong thời gian dài, người dùng của OpenSea đã trở thành nạn nhân của các cuộc tấn công mạo danh chức năng của OpenSea để khai thác thông tin. Ví dụ, các trang web giả mạo OpenSea hoặc yêu cầu chữ ký giả mạo có nguồn gốc từ OpenSea.
OpenSea đã bị chỉ trích về vấn đề bảo mật của nền tảng sau khi một cuộc tấn công lừa đảo lớn đã xảy ra vào tháng 2 năm 2022, dẫn đến việc NFT trị giá hơn 1,7 triệu đô la bị đánh cắp từ người dùng.
Hiện tại, không rõ việc khai thác đã tồn tại bao lâu và liệu có ảnh hưởng đến người dùng nào hay không sau khi bản vá mới được triển khai.
Coin6s Tổng Hợp
