اخبار بلاکچین

ضعف امنیتی اپن سی که می‌توانست باعث نشت اطلاعات کاربران شود، کشف و برطرف شد

بازار NFT اوپن‌سی آسیب‌پذیری مهمی را که توسط یکی از شرکت‌های امنیتی گزارش شده بود برطرف کرد. مهاجمان می‌توانستند با استفاده از این آسیب‌پذیری هویت کاربران را شناسایی کنند.

مقایسه قیمت صرافی‌های ایرانی

با میهن بلاکچین، بهترین قیمت خرید و فروش ارزهای دیجیتال رو پیدا کن!

مقایسه صرافی

به گزارش کوین تلگراف، شرکت امنیت سایبری ایمپروا (Imperva) در پست وبلاگ خود در رابطه با چگونگی کشف این آسیب‌پذیری صحبت کرد. به گفته این شرکت، با استفاده از این باگ، تنها با کلیک بر روی یک لینک مخرب، اطلاعات مهم کاربران از جمله آدرس IP، ایمیل و غیره  در اختیار مهاجمین قرار می‌گرفته است.

به گفته شرکت Imperva، از آنجایی که توکن‌های NFT در آدرس کیف پول کاربران ذخیره می‌شوند، هویت واقعی آنها را می‌توان با استفاده از اطلاعات جمع‌آوری شده مربوط به کیف پول و فعالیت‌های آنها به دست آورد.

آسیب‌پذیری مذکور ظاهرا به جستجوی میان سایتی مربوط بوده و پیکربندی نادرست کتابخانه‌ای با نام « iFrame-resizer» باعث این آسیب‌پذیری شده است. این کتابخانه که اندازه عناصر موجود در صفحات یک وب‌سایت را تغییر می‌دهد، محتوای HTML را از جاهای دیگری که برای تبلیغات، محتوای تعاملی و یا ویدیوها استفاده می‌شود بارگیری می‌کند.

از آنجایی که اوپن‌سی دسترسی این کتابخانه را محدود نکرده بود، مهاجمین می‌توانستند از اطلاعاتی که به عنوان یک «اوراکل» توسط آن منتقل می‌شوند، سوء استفاده کنند.

بر اساس توضیحات شرکت Imperva، مهاجم لینکی را از طریق ایمیل یا پیامک به قربانی ارسال می‌کند و در صورت کلیک بر روی این لینک مخرب، اطلاعات ارزشمندی از جمله آدرس IP هدف، اطلاعات دستگاه مورد استفاده و نسخه‌های نرم‌افزاری برای مهاجم ارسال می‌شود.

تصویری از صفحه اصلی وب‌سایت اوپن‌سی
تصویری از صفحه اصلی وب‌سایت اوپن‌سی – منبع: OpenSea

در نهایت، مهاجم می‌توانسته با استفاده از آسیب‌پذیری اوپن‌سی، NFTهای مرتبط با قربانی را پیدا کند و با تطابق آن با آدرس کیف پول فرد، اطلاعات شناسایی مهمی از جمله ایمیل و یا شماره تلفن قربانی را دریافت نماید.

به گفته این شرکت امنیتی، اوپن‌سی به محض اطلاع از این آسیب‌پذیری آن را برطرف و دسترسی کتابخانه iFrame-resizer را محدود کرد.

کاربران اوپن‌سی مدت‌هاست قربانی حملات هکرها هستند. هکرها در سال‌های اخیر با طراحی وب‌سایت‌های فیشینگ یا امضاهایی که ظاهرا از جانب پلتفرم اوپن‌سی است، سعی در سرقت دارایی کاربران دارند. در فوریه (بهمن) سال گذشته حمله فیشینگ گسترده‌ای در این بازار معاملاتی رخ داد که منجر به سرقت بیش از ۱.۷ میلیون دلار از NFTهای کاربران شد؛ اتفاقی که انتقادات بسیار زیادی را در رابطه با امنیت اوپن‌سی به همراه داشت.

هنوز مشخص نیست آسیب‌پذیری کشف‌شده توسط شرکت Imperva چه مدتی وجود داشته و بر چه تعدادی از کاربران اوپن‌سی تاثیر گذاشته است.

نوشته های مشابه

اشتراک
اطلاع از
0 دیدگاه
Inline Feedbacks
View all comments
دکمه بازگشت به بالا