اپنسی یک باگ بالقوه جدی را اصلاح کرد
بازار اپنسی (OpenSea) اخیراً یک باگ را در کد خود برطرف کرده است که هکرها میتوانستند برای افشای اطلاعات کاربران از آن سوء استفاده کنند.
Imperva باگ اپنسی را شناسایی کرد
در ۹ مارس، شرکت امنیت سایبری Imperva به یک باگ در پلتفرم اپنسی اشاره کرد. این شرکت در یک پست وبلاگی جزئیات یافتههای خود را توضیح داد و ادعا کرد این باگ تهدیدات امنیتی جدیای برای دادههای کاربران ایجاد میکند. عوامل مخرب میتوانند از این باگ برای پیدا کردن اطلاعات شخصی کاربران، مانند شماره تلفن و شناسه ایمیل آنها استفاده کنند.
بر اساس این گزارش، کاربران ناشناس اپنسی میتوانند با استفاده از این باگ و پیوند دادن یک آدرس IP، یک نشست مرورگر یا حتی یک ایمیل شناسایی شوند. در نتیجه، اگر آدرس کیف پول رمزارزی مربوطه در ارتباط با اطلاعات جمعآوریشده از آدرس شناسایی فاش شود، خریداران ناشناس ممکن است خطر افشای هویت خود را داشته باشند.
این گزارش پیکربندی نادرست کتابخانه iFrame-resizer مورد استفاده توسط پلتفرم NFT را شناسایی کرد که باعث آسیبپذیری جستجوی بینسایتی شده است.
این ویژگی برای قرار دادن تبلیغات، محتوای تعاملی یا ویدیوهای جاسازی شده استفاده میشود. از آنجایی که پلتفرم اپنسی ارتباطات این کتابخانه را محدود نکرده بود، دستکاری اطلاعات پخششده و استفاده از آن به عنوان «اوراکل» برای هکرها آسان خواهد بود.
هکرها سپس میتوانند از طریق ایمیل یا پیامک پیوندی را برای هدف ارسال کنند. اگر هدف روی لینک کلیک کند، اطلاعات شخصی او، از جمله آدرس IP، جزئیات دستگاه و نسخههای نرمافزار فاش میشود. آدرس ایمیل و شماره تلفن میتوانند به عنوان عاملی برای شناسایی عمل کند و به مهاجم اجازه دهد به نام NFTهای متصلشده و آدرس کیف پول مربوطه آنها دسترسی داشته باشد.
نگرانیهای امنیتی اپنسی
گزارش شده است که تیم اپنسی با انتشار سریع یک وصله برای رفع این باگ، مشکل را برطرف کرده است. تیم Imperva تأیید کرد که این وصله ارتباط مبدأ را محدود میکند و از سوءاستفاده از آن در آینده جلوگیری میکند، بنابراین این تهدید با موفقیت رفع شده است.
البته، این اولین تهدید امنیتی نیست که اپنسی با آن مواجه شده است. در سپتامبر ۲۰۲۱، این پلتفرم با مشکلی مواجه شد که منجر به حذف NFT هایی به ارزش ۲۸.۴۴ ETH یا ۱۰۰۰۰۰ دلار شد. یک سال بعد، در فوریه ۲۰۲۲، اپنسی هدف یک حمله هکری قرار گرفت و هکر چندین NFT با ارزش را از کاربران این پلتفرم دزدید.
پیشنهاد مطالعه: معرف کامل سایت اوپن سی: آموزش گامبهگام ساخت و فروش NFT در Opensea