O OpenSea, um mercado de tokens não fungíveis (NFTs), corrigiu uma vulnerabilidade que poderia revelar informações do usuário, incluindo endereços de e-mail e números de telefone.
A empresa de segurança cibernética Imperva descobriu a falha, que já foi corrigida. Ele detalhou como poderia ter desanonimizado os usuários do OpenSea, vinculando endereços IP, sessões de navegador ou e-mails a NFTs. Os NFTs correspondem a endereços de carteira de criptomoeda, o que significa que as informações coletadas e vinculadas à carteira podem revelar a verdadeira identidade de um usuário.
Qual é a causa da vulnerabilidade
De acordo com a equipe, a causa da vulnerabilidade foi uma exploração de pesquisa entre sites. Ele foi capaz de usar uma biblioteca que redimensiona os elementos da página da Web para incorporar anúncios, conteúdo interativo ou vídeos. Os exploradores podem usar as transmissões da biblioteca como um “oráculo” para restringir quando as pesquisas não retornam resultados, resultando em uma página da Web menor.
De acordo com a Imperva, um invasor enviava à vítima um e-mail ou SMS com um link que, ao ser clicado, revelava informações como o
- endereço IP do alvo,
- dados do dispositivo,
- agente do usuário e
- versões de software.
O invasor pode usar a vulnerabilidade OpenSea para obter os identificadores NFT de seu alvo. Eles então correlacionam o endereço da carteira com informações identificáveis.
Em fevereiro de 2022, um ataque maciço de phishing causou a perda de mais de $ 1,7 milhão em NFTs, levando a críticas às medidas de segurança do OpenSea. Sites de phishing e solicitações de assinatura visavam usuários, fingindo ser da OpenSea. Não está claro quanto tempo o exploit permaneceu ativo ou se algum cliente foi afetado.
De acordo com a Imperva, a OpenSea corrigiu rapidamente a vulnerabilidade bloqueando os contatos da biblioteca. A plataforma não é mais vulnerável a tais ataques. O incidente destaca a necessidade contínua de plataformas online para implementar medidas robustas de segurança cibernética para proteger os dados e ativos dos usuários.
Em conclusão, esta vulnerabilidade do OpenSea e seu patch subsequente destacam a importância de priorizar as medidas de segurança cibernética para proteger os dados e ativos do usuário em plataformas digitais, especialmente no espaço de criptomoeda e NFT. Além disso, como esses mercados continuam crescendo e se expandindo, as plataformas devem priorizar a segurança de seus usuários. Além disso, eles devem tomar medidas proativas para evitar possíveis exploits.
