Создать профиль

К OpenSea снова были вопросы по безопасности

0

Editor img 2838

Компания Imperva, занимающаяся вопросами кибербезопасности, сообщила об уязвимости межсайтового поиска (cross-site search vulnerability), или XS-Search, маркетплейса OpenSea. Используя этот тип атаки, злоумышленник может получить информацию о личности пользователя и доступ к цифровому кошельку.

Editor img 1210

Сразу стоит оговориться, что OpenSea отреагировала на проблему в кратчайшие сроки. Компания выпустила специальный патч (вид программного обеспечения), ограничивающий обмен данными между непроверенными источниками, что снижает риск утечки личной информации пользователя. Команда Imperva Red, после устранения OpenSea уязвимости, подтвердила, что вопрос с XS-Search на платформе снят. Но мы считаем важным проговорить, в чем была суть проблемы, чтобы в дальнейшем NFT-маркетплейсы и другие криптоплатформы были более бдительными.

В случае XS-Search (группа атак XS-Leaks) злоумышленник преследует цель украсть персональную информацию юзера. «Благодаря» незащищенности OpenSea, преступник мог узнать адрес кошелька, E-мейл, номер телефона пользователя и какие NFT у него есть. Каким образом это происходит? Мошенник выбирает жертву, затем отправляет ей ссылку через какой-нибудь канал связи (например, в sms или на электронную почту). Если юзер переходит по этой ссылке, то в руках злоумышленника оказываются важные данные – IP-адрес, сведения об устройстве, пользовательском агенте (например, какой браузер используется) и версии программного обеспечения. С их помощью киберпреступник может получить доступ к цифровому кошельку, который раскроет личность юзера. А это грозит деанонимизацией клиентов OpenSea или другой площадки.

В чем причина уязвимости OpenSea?

У маркетплейса возникла уязвимость межсайтового поиска из-за неправильной конфигурации библиотеки iFrame-resizer, которую он использовал. Библиотека изменяет размеры элементов веб-страницы, которые загружают HTML-контент из других источников, использующихся обычно для размещения рекламы или встроенных видео. Так как настройки библиотеки изначально были ошибочными, злоумышленники не упустили шанса воспользоваться проколом маркетплейса. Они использовали передаваемую информацию как оракулы (алгоритмы для передачи данных между смарт-контрактом и источником за пределами сети), чтобы сузить круг поиска.

Надеемся, OpenSea вовремя устранили свою уязвимость, и клиенты не пострадали. Напомним, что пользователи платформы не один раз становились жертвами киберпреступников, которые создают фишинговые сайты или направляют письма, которые якобы исходят от OpenSea. Самая крупная атака случилась чуть больше года назад (февраль 2022 года), когда у юзеров были украдены NFT на сумму превышающую $1,7 млн. Но тогда OpenSea сказали, что площадка ни при чем, так как фишингу подверглись сами пользователи. И даже если платформа установит самые безопасные протоколы и стандарты безопасности, это не защитит от рисков, поэтому пользователи тоже должны нести ответственность за свои действия.