OpenSea исправила уязвимость, которая раскрывает личность владельца NFT

Исследователи безопасности из команды Imperva Red Team обнаружили ​​ уязвимость межсайтового поиска (XS-Search) на торговой площадке OpenSea, которая позволяет злоумышленнику раскрыть личность пользователя. Эксперты представили видео , демонстрирующее работу уязвимости.

Все, что нужно сделать хакеру, — это привязать IP-адрес, адрес электронной почты или сеанс браузера к определенному NFT. В результате киберпреступник получает доступ к адресу кошелька, который раскрывает личность пользователя.

Злоумышленник отправляет своей цели ссылку через различные каналы связи, например, SMS или электронную почту. Когда жертва нажимает на ссылку, информация о его IP-адресе, устройстве, useragent и версии ПО отправляется киберпреступнику.

Затем злоумышленник может использовать уязвимость межсайтового поиска, чтобы получить идентификатор NFT жертвы и сопоставить раскрытый адрес NFT-кошелька с номером телефона или адресом электронной почты, на который была отправлена ​​ссылка.

Ошибка вызвана неправильной конфигурацией библиотеки «iFrame-resizer», которая использует OpenSea. Когда эта библиотека используется там, где обмен данными между источниками не ограничен, возникает уязвимость межсайтового поиска. OpenSea не ограничивал обмен данными, что привело к этой проблеме.

Эта неправильная конфигурация позволяет раскрыть личность пользователя. Учитывая тот факт, что экосистема NFT полностью основана на анонимности, такой недостаток может иметь серьезные последствия для бизнеса OpenSea, поскольку в случае его использования злоумышленник может начать фишинговые атаки, а также может отслеживать пользователей, которые приобрели NFT с наибольшей стоимостью.

Как работает уязвимость межсайтового поиска

Уязвимость межсайтового поиска (XS-Search) основана на семействе атак XS-Leaks. XS-Search можно найти в веб-приложениях, использующих механизмы поиска на основе запросов.

Уязвимость позволяет злоумышленнику извлекать конфиденциальную информацию из другого источника, отправляя запросы и наблюдая за различиями в поведении поисковой системы, когда она возвращает или не возвращает результаты. Хакер постепенно собирает информацию о пользователе, отправляя многочисленные запросы поисковой системе и используя заметные различия в поведении системы для извлечения данных жертвы.

После раскрытия уязвимости OpenSea быстро исправила ее, выпустив обновление, ограничивающее обмен данными между источниками ( Cross-Origin Resource Sharing, CORS ). Исправление предотвратило дальнейшее использование уязвимости.