بازار NFT اوپنسی آسیبپذیری مهمی را که توسط یکی از شرکتهای امنیتی گزارش شده بود، تشخیص داد. با استفاده از این آسیب پذیری هویت کاربران را شناسایی می کنند.
به گزارش کوین تلگراف، شرکت امنیت سایبری ایمپروا (Imperva) در پست وبلاگ خود در رابطه با کشف این آسیب پذیری صحبت کرد. به این گفته، با استفاده از این باگ، تنها با کلیک بر روی یک لینک مخرب، اطلاعات کاربران از جمله آدرس های IP، ایمیل و غیره در شرکت های اختیاری قرار می گیرند.
به گفته شرکت Imperva، از آنجایی که توکنهای NFT در آدرس کیف پول کاربران ذخیره میشوند، هویت واقعی آنها را میتوان با استفاده از اطلاعات جمعآوری شده مربوط به کیف پول و فعالیتهای آنها به دست آورد.
آسیب پذیری میان این ظاهرا به جستجوی سایتی مربوط می شود و پیکربندی نادرست کتابخانه های با نام «iFrame-resizer» باعث این آسیب پذیری می شود. این کتابخانه که دارای عناصر موجود در صفحات یک وبسایت را تغییر میدهد، HTML را برای جاهای دیگری که برای تبلیغات، ابزاری و یا ویدیوها استفاده میشود، میشود.
از آنجایی که اوپنسی دسترسی به این کتابخانه را محدود نکرده بود، میتوانستند از اطلاعاتی که به عنوان یک «اوراکل» توسط آن منتقل میشوند، سوء استفاده کنند.
بر اساس توضیحات شرکت Imperva، استفاده از لینکی را از طریق ایمیل یا پیامک به قربانی ارسال میکند و در صورت کلیک بر روی این لینک مخرب اطلاعات، ارزشی از جمله آدرس IP هدف، اطلاعات دستگاه و نسخههای نرمافزاری برای ارسال میشود.
در نهایت، میتوان با استفاده از آسیبپذیری اوپنسی، NFTهای مرتبط با قربانی را پیدا کرد و با تطابق آن با کیف پول فرد، اطلاعات مهمی از جمله ایمیل و شماره تلفن قربانی را شناسایی کرد.
به گفته این شرکت امنیتی، اوپنسی به محض اطلاع از این آسیبپذیری آن را میداند و کتابخانه iFrame-resizer را محدود میکند.
کاربران اوپنسی مدتهاست قربانی حملات هکرها هستند. هکرها در سالهای اخیر با طراحی وبسایتهای فیشینگ یا امضاهایی که ظاهراً از پلتفرم اوپنسی است، سعی میکنند کاربران را در معرض خطر قرار دهند. در فوریه (بهمن) سال گذشته در حمله فیشینگ، در این بازاری رخ داد که از ۱٫۷ میلیون دلار از NFTهای کاربران آسیب دید. اتفاقی که انتقادات بسیار را در رابطه با امنیت اوپنسی به همراه داشت.
هنوز آسیب پذیری کشفشده توسط شرکت Imperva چه مدتی وجود داشته و برای چه مشخص از کاربران اوپنسی تاثیر گذاشته است.
خبر فوق به نقل از رسانه اسمارتک نیوز در وبسایت اسمارتک نوشته شده است در تاریخ ۲۰۲۳-۰۳-۱۳ ۱۸:۲۵:۰۰
