-Advertisement-
El mercado de tokens no fungibles OpenSea ha parcheado una vulnerabilidad que, de ser explotada, podría haber expuesto información identificativa de sus usuarios anónimos.
En una entrada del blog del 9 de marzo, la empresa de ciberseguridad Imperva detalló cómo descubrió la vulnerabilidad, que según afirmaba podía desanonimizar a los usuarios de OpenSea “vinculando una dirección IP, una sesión de navegador o un correo electrónico en determinadas condiciones” a un NFT.
Como el NFT corresponde a la dirección de un monedero de criptomoneda, la identidad real de un usuario podría revelarse a partir de la información recopilada y vinculada al monedero y su actividad, explicó Imperva.
Imperva Red Team descubrió una vulnerabilidad de búsqueda en sitios cruzados que afecta al #NFT mercado #OpenSea.
Esta vulnerabilidad permite la desanonimización de usuarios, revelando potencialmente la identidad de un usuario. https://t.co/nGQWceeGEc
– Imperva (@Imperva) 9 de marzo de 2023
Se entiende que el exploit se aprovechó de una vulnerabilidad de búsqueda entre sitios. Imperva afirmó que OpenSea había configurado mal una biblioteca que cambia el tamaño de los elementos de las páginas web que cargan contenido HTML de otros lugares que se suelen utilizar para colocar anuncios, contenido interactivo o vídeos incrustados.
Como OpenSea no restringía las comunicaciones de esta librería, los explotadores podían utilizar la información que emite como un “oráculo” para acotar cuando las búsquedas no devolvían resultados, ya que la página web sería más pequeña.
Imperva detalló que un atacante enviaría a su objetivo un enlace a través de correo electrónico o SMS, que si se pulsa “revela información valiosa, como la dirección IP del objetivo, el agente de usuario, detalles del dispositivo y versiones de software.”
El atacante utilizaría entonces la vulnerabilidad de OpenSea para extraer los nombres NFT de su objetivo y asociar la dirección de monedero correspondiente con información identificativa como un correo electrónico o un número de teléfono al que se envió el enlace original.
Imperva dijo que OpenSea “abordó rápidamente el problema” y restringió adecuadamente las comunicaciones de la biblioteca, informando que la plataforma “ya no estaba en riesgo de tales ataques.”
Relacionado: El equipo de seguridad crea un panel para detectar posibles hackeos de NFT en OpenSea
Los usuarios de la plataforma llevan tiempo siendo víctimas de ataques que imitan las funciones de OpenSea para llevar a cabo exploits, como sitios web de phishing que se asemejan a la plataforma o solicitudes de firma que parecen originarse en OpenSea.
La propia OpenSea se ha enfrentado a críticas por la seguridad de su plataforma debido a un importante ataque de phishing en febrero de 2022 que se saldó con el robo a los usuarios de NFT por valor de más de 1,7 millones de dólares.
En cuanto al reciente parche, se desconoce desde cuándo existía o si algún usuario se había visto afectado por el exploit.
OpenSea no respondió inmediatamente a la solicitud de comentarios de Cointelegraph.
Source: COIN TELEGRAPH