- 成功利用 OpenSea 上的漏洞后,攻击者可以获取用户的身份。
- 漏洞出现后,OpenSea 迅速修复了该问题。
网络安全公司 Imperva的 在流行的 NFT 市场上检测到一个主要漏洞 外海,如果成功利用,攻击者可以获取平台上用户的身份。
根据 Imperva 的说法,OpenSea 使用的 iFrame-resizer 库的错误配置是导致该漏洞的主要原因。
Imperva 提供了有关该问题的利用机制的更多详细信息,并表示攻击者将通过电子邮件或短信发送链接。
如果受害者点击链接,目标的 IP 地址、用户代理、设备详细信息和软件版本等重要信息将被检索。
然后将利用跨站点搜索漏洞获取目标的 NFT 名称,然后攻击者会将泄露的 NFT/公共钱包地址与链接最初发送到的电子邮件或电话号码相关联。
不过,Imperva 的报告中提到,OpenSea 已经在报告后修复了该问题,市场不再面临此类攻击的风险
污点过去
过去,OpenSea 曾面临着对该平台安全性的严重担忧。 2022 年 XNUMX 月,它成为 NFT 生态系统中最大黑客之一的中心。
在利用过程中,价值 1.7 万美元的 NFT 从用户的钱包中被盗。 OpenSea 首席执行官 Devin Finzer 承认了这一违规行为。
另一个更新:在过去的几个小时里,我们与 NFT 领域的数十个人、团队和项目进行了交谈。 https://t.co/fB5r3cMA1r
-德文·芬泽(dfinzer.eth)(@dfinzer) 2022 年 2 月 20 日
不到三个月,市场再次受到冲击 discord频道被入侵. 黑客发布了虚假的 YouTube 合作新闻,其中包含指向钓鱼网站的链接。
黑客攻击的影响使 OpenSea 采取了一些具体措施来保护其用户。 上个月,它推出了一个 宽限期 三个小时,在此期间卖家将被阻止在假定的销售后接受报价。
交易活动减少
与此同时,自 40 月中旬以来,OpenSea 平台上的交易活动显着下降。 根据 Token Terminal 的数据,截至发稿时,每周 NFT 交易量暴跌 XNUMX%。
因此,支付给创作者的版税也有所下降。 在撰写本文时,每周供应方费用暴跌 40%,这可能会阻止感兴趣的创作者在市场上列出他们的作品。
OpenSea 受到重创,因为 模糊 [模糊] 席卷 NFT 市场生态系统的风暴。 根据 Dune Analytics 的数据,OpenSea 在所有市场的总交易量中所占份额降至 26%。
然而,它仍然设法保住了很大一部分用户群和销售总量,分别占据 62.8% 和 51% 的主导地位。
资料来源:https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/