شرکت امنیت سایبری Imperva یک حفرهی امنیتی بزرگ را در بازار محبوب NFT OpenSea شناسایی کرد که در صورت سوء استفاده، میتواند به مهاجم اجازه دهد تا هویت کاربران را در پلتفرم به دست آورد.
Imperva میگوید پیکربندی نادرست کتابخانهی iFrame-resizer مورد استفاده توسط OpenSea دلیل اصلی این آسیبپذیری بوده است.
Imperva جزییات بیشتری در خصوص مکانیسم این سو استفاده منتشر کرده و میگوید مهاجم لینکی را از طریق ایمیل یا پیامک ارسال میکند. اگر قربانی روی این لینک کلیک کند، اطلاعات ارزشمندی مانند آدرس IP شخص، جزئیات دستگاه و نسخههای نرمافزار به سرقت میرود. در ادامه از این آسیبپذیری در جستجوی بینسایتی برای دریافت نام NFTهای شخص استفاده میشود و مهاجم NFT یا کیف پول عمومی لو رفته را با ایمیل یا شماره تلفنی که لینک ابتدا به آن ارسال شده است مرتبط میکند.
البته گزارش Imperva اشاره میکند که OpenSea پس از دریافت گزارش چنین حملاتی مشکل را برطرف کرده است و بازار دیگر در معرض این مخاطرات نیست.
در گذشته نیز OpenSea با مشکلات و نگرانیهای جدی در خصوص پلتفرم خود درگیر بوده است. در فوریه 2022، این پلتفرم مرکز یکی از بزرگترین هکها در اکوسیستم NFT بود.
در طی این سوء استفاده، 1.7 میلیون دلار NFT از کیف پول کاربران به سرقت رفت. این اتفاق توسط Devin Finzer، مدیر عامل OpenSea تایید شد.
“به روز رسانی: در ساعات گذشته ما چندین نفر از تیمها و پروژههای مختلف در سراسر فضای NFT در ارتباط بودهایم”
-Devin Finzer (Dfinzer.eth) (@dfinzer)
20 فوریه 2022
کمتر از سه ماه بعد از این اتفاق و زمانی که کانال دیسکور آن به خطر افتاد، بازار دوباره ضربه خورد. هکرها یک خبر همکاری جعلی در یوتیوب منتشر کردند که شامل لینگی به یک سایت فیشینگ بود.
در نتیجهای این حملات و هکها باعث شد که OpenSea برای محافظت بیشتر از کاربران خود اقداماتی انجام دهد. ماه گذشته، OpenSea یک پنجرهی سه ساعته را معرفی کرد که طی آن فروشندگان از پذیرش پیشنهادات پس از فروش فرضی منع میشدند.
