- Rupa u zakonu na OpenSea-u kada je bila uspješno iskorištena mogla je omogućiti napadaču da dobije identitete korisnika.
- OpenSea je brzo riješio problem nakon što je ranjivost došla do izražaja.
Kompanija za sajber bezbednost Imperva otkrili veliku ranjivost na popularnom NFT tržištu Otvoreno more, koji bi nakon uspješnog iskorištavanja mogao omogućiti napadaču da dobije identitete korisnika na platformi.
Prema Impervi, pogrešna konfiguracija biblioteke iFrame-resizer koju koristi OpenSea bila je glavni razlog za ranjivost.
Navodeći više detalja o mehanizmu eksploatacije problema, Imperva je naveo da će napadač poslati link putem e-pošte ili SMS-a.
Ako žrtva klikne na vezu, bitne informacije kao što su ciljna IP adresa, korisnički agent, detalji o uređaju i verzije softvera će se preuzeti.
Ranjivost pretraživanja na više lokacija bi se tada iskoristila da bi se dobila NFT imena mete, a napadač bi zatim povezao procurelu NFT/javnu adresu novčanika sa e-mailom ili brojem telefona na koji je link prvobitno poslat.
Međutim, Impervin izvještaj spominje da je OpenSea riješio problem nakon što je prijavljen i da tržište više nije u opasnosti od takvih napada
Tainted Past
OpenSea se u prošlosti suočavao sa ozbiljnom zabrinutošću u vezi sa sigurnošću platforme. U februaru 2022. bio je u središtu jednog od najvećih hakova u NFT ekosistemu.
Tokom eksploatacije, NFT-ovi u vrijednosti od 1.7 miliona dolara ukradeni su iz novčanika korisnika. Kršenje je priznao izvršni direktor OpenSea Devin Finzer.
Još jedno ažuriranje: u proteklih nekoliko sati razgovarali smo sa desetinama ljudi, timova i projekata širom NFT prostora. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) Februar 20, 2022
Za manje od tri mjeseca, tržište je ponovo pogođeno kada je Discord kanal je kompromitovan. Hakeri su objavili lažne vijesti o saradnji na YouTube-u koje su uključivale link do phishing stranice.
Utjecaj hakova natjerao je OpenSea da preduzme neke konkretne korake kako bi zaštitio svoje korisnike. Prošlog mjeseca je uveo a grejs period od tri sata tokom kojih će prodavci biti spriječeni da prihvate ponude nakon navodne prodaje.
Trgovinska aktivnost opada
U međuvremenu, OpenSea je doživio značajan pad u trgovačkim aktivnostima na platformi od sredine februara. Sedmično trgovanje NFT-om je palo za 40% do vremena za štampu, prema podacima sa Token Terminala.
Kao posljedica toga, tantijeme isplaćene kreatorima su također smanjene. Sedmične naknade na strani ponude pale su za 40% u vrijeme pisanja ovog teksta, što bi moglo odvratiti zainteresirane kreatore od izlivanja svojih radova na tržištu.
Izvor: Token Terminal
OpenSea je bio teško pogođen zbog zamagljivanje [BLUR] oluja koja je zahvatila ekosistem NFT tržišta. Prema podacima Dune Analytics-a, udio OpenSea-a u ukupnom obimu trgovanja na svim tržištima smanjen je na 26%.
Međutim, i dalje je uspio zadržati značajan dio korisničke baze i ukupan broj prodaje, sa dominacijom od 62.8% i 51% respektivno.
Izvor: Dune Analytics
Izvor: https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/