OpenSea 修补了潜在的严重漏洞

NFT 市场 OpenSea 最近解决了其代码中的一个漏洞，该漏洞可能被利用来泄露用户数据。 

Imperva 检测到 OpenSea 漏洞

9 月 XNUMX 日，网络安全公司 Imperva 指出了 外海 平台。 该公司发布了一篇博文，详细介绍了其调查结果，并声称该漏洞对用户数据构成了严重的安全威胁。 恶意行为者可以利用该错误来发现有关用户的个人信息，例如他们的电话号码和电子邮件 ID。 

该团队在推特上写道， 

“Imperva 红队发现了一个影响 NFT 市场 OpenSea 的跨站搜索漏洞。”

此漏洞允许用户去匿名化，可能会泄露用户的身份。

根据该报告，可以通过操纵此漏洞并将 IP 地址、浏览器会话甚至电子邮件链接到 NFT 来揭露匿名 OpenSea 用户。 因此，如果与从识别地址收集的信息相关的相应加密钱包地址被泄露，匿名买家可能会面临身份暴露的风险。 

根本原因——库配置错误

该报告进一步分析了问题的根本原因，确定了 iFrame-resizer 库的配置错误 NFT平台，这导致了跨站点搜索漏洞。 这意味着该平台错误配置了一个库，该库会调整从其他地方加载 HTML 内容的网页元素的大小。 

此功能用于放置广告、互动内容或嵌入式视频。 由于 OpenSea 平台没有限制该库的通信，黑客和其他恶意行为者很容易操纵广播信息并将其用作“神谕”来查明目标。 

然后他们可以通过电子邮件或短信向目标发送链接。 如果目标点击链接，他们的个人信息，包括他们的 IP 地址、用户代理、设备详细信息和软件版本，将被泄露。 电子邮件地址和电话号码可能充当识别市场，允许攻击者访问连接到目标的 NFT 的名称及其相应的钱包地址。 

OpenSea 的安全问题

据报道，OpenSea 团队已经通过快速发布补丁来修复漏洞来解决这个问题。 Imperva 团队确认此补丁限制了跨源通信并将防止未来的利用，从而成功解决了威胁。 

然而，这并不是 OpenSea 面临的第一个安全威胁。 2021 年 XNUMX 月，该平台遇到了一个错误，导致 删除 NFT 价值 28.44 ETH 或 100,000 美元。 一年后，即 2022 年 XNUMX 月，OpenSea 成为一名黑客的目标，他窃取了数个 高价值 NFT 来自平台用户。 

免责声明：本文仅供参考。 不提供或不打算将其用作法律，税务，投资，财务或其他建议。