ຕະຫຼາດ NFT OpenSea ບໍ່ດົນມານີ້ໄດ້ແກ້ໄຂຊ່ອງໂຫວ່ໃນລະຫັດຂອງພວກເຂົາທີ່ສາມາດຖືກຂູດຮີດຂໍ້ມູນຜູ້ໃຊ້ຮົ່ວໄຫຼ.
Imperva ກວດພົບຊ່ອງໂຫວ່ OpenSea
ໃນວັນທີ 9 ມີນານີ້, ບໍລິສັດຄວາມປອດໄພທາງອິນເຕີເນັດ Imperva ໄດ້ຊີ້ໃຫ້ເຫັນເຖິງຄວາມອ່ອນແອໃນ Opensea ເວທີ. ບໍລິສັດໄດ້ເຜີຍແຜ່ບົດຄວາມ blog ທີ່ລາຍລະອຽດການຄົ້ນພົບຂອງມັນແລະອ້າງວ່າຈຸດອ່ອນດັ່ງກ່າວເຮັດໃຫ້ເກີດໄພຂົ່ມຂູ່ຕໍ່ຄວາມປອດໄພທີ່ຮ້າຍແຮງຕໍ່ຂໍ້ມູນຜູ້ໃຊ້. ຜູ້ກະທຳທີ່ເປັນອັນຕະລາຍສາມາດນຳໃຊ້ແມງໄມ້ເພື່ອເປີດເຜີຍຂໍ້ມູນສ່ວນຕົວກ່ຽວກັບຜູ້ໃຊ້ ເຊັ່ນ: ເບີໂທລະສັບ ແລະ ID ອີເມວຂອງເຂົາເຈົ້າ.
ທີມງານໄດ້ tweeted,
"ທີມງານ Imperva Red ຄົ້ນພົບຊ່ອງໂຫວ່ການຊອກຫາຂ້າມເວັບໄຊທ໌ທີ່ມີຜົນກະທົບຕໍ່ຕະຫຼາດ NFT OpenSea."
ຊ່ອງໂຫວ່ນີ້ເຮັດໃຫ້ການປິດບັງຊື່ຂອງຜູ້ໃຊ້, ອາດຈະເປີດເຜີຍຕົວຕົນຂອງຜູ້ໃຊ້.
ອີງຕາມບົດລາຍງານ, ຜູ້ໃຊ້ OpenSea ທີ່ບໍ່ເປີດເຜີຍຊື່ສາມາດຖືກເປີດເຜີຍໂດຍການຈັດການຂໍ້ຜິດພາດນີ້ແລະການເຊື່ອມໂຍງທີ່ຢູ່ IP, ຊ່ວງເວລາຂອງຕົວທ່ອງເວັບ, ຫຼືແມ້ກະທັ້ງອີເມວໄປຫາ NFT. ດັ່ງນັ້ນ, ຜູ້ຊື້ທີ່ບໍ່ເປີດເຜີຍຊື່ສາມາດມີຄວາມສ່ຽງຕໍ່ການເປີດເຜີຍຕົວຕົນຂອງພວກເຂົາຖ້າທີ່ຢູ່ crypto wallet ທີ່ສອດຄ້ອງກັນຖືກເປີດເຜີຍໃນການເຊື່ອມຕໍ່ກັບຂໍ້ມູນທີ່ເກັບກໍາຈາກທີ່ຢູ່ກໍານົດ.
ສາເຫດຫຼັກ – ການຕັ້ງຫ້ອງສະໝຸດຜິດ
ບົດລາຍງານໄດ້ວິເຄາະຕື່ມກ່ຽວກັບສາເຫດຕົ້ນຕໍຂອງບັນຫາ, ການກໍານົດການຕັ້ງຄ່າຜິດພາດຂອງຫ້ອງສະຫມຸດ iFrame-resizer ນໍາໃຊ້ໂດຍ. ເວທີ NFT, ເຊິ່ງເຮັດໃຫ້ເກີດຄວາມອ່ອນແອຂອງການຄົ້ນຫາຂ້າມເວັບໄຊທ໌. ນີ້ຫມາຍຄວາມວ່າແພລະຕະຟອມໄດ້ປັບຄ່າຫ້ອງສະຫມຸດທີ່ບໍ່ຖືກຕ້ອງທີ່ປັບຂະຫນາດອົງປະກອບຫນ້າເວັບທີ່ໂຫລດເນື້ອຫາ HTML ຈາກບ່ອນອື່ນ.
ຄຸນສົມບັດນີ້ຖືກໃຊ້ເພື່ອວາງໂຄສະນາ, ເນື້ອຫາແບບໂຕ້ຕອບ ຫຼືວິດີໂອທີ່ຝັງໄວ້. ເນື່ອງຈາກແພລະຕະຟອມ OpenSea ບໍ່ໄດ້ຈໍາກັດການສື່ສານຂອງຫ້ອງສະຫມຸດນີ້, ມັນຈະເປັນການງ່າຍສໍາລັບແຮກເກີແລະນັກສະແດງທີ່ເປັນອັນຕະລາຍອື່ນໆທີ່ຈະຈັດການຂໍ້ມູນທີ່ອອກອາກາດແລະໃຊ້ມັນເປັນ "oracle" ເພື່ອກໍານົດເປົ້າຫມາຍ.
ເຂົາເຈົ້າສາມາດສົ່ງເປົ້າໝາຍໄດ້ຜ່ານທາງອີເມລ໌ ຫຼື SMS. ຖ້າເປົ້າຫມາຍຄລິກໃສ່ການເຊື່ອມຕໍ່, ຂໍ້ມູນສ່ວນຕົວຂອງພວກເຂົາ, ລວມທັງທີ່ຢູ່ IP, ຕົວແທນຜູ້ໃຊ້, ລາຍລະອຽດອຸປະກອນ, ແລະສະບັບຊອບແວ, ຈະຖືກເປີດເຜີຍ. ທີ່ຢູ່ອີເມລ໌ແລະເບີໂທລະສັບສາມາດເຮັດຫນ້າທີ່ເປັນຕະຫຼາດການລະບຸເພື່ອໃຫ້ຜູ້ໂຈມຕີສາມາດເຂົ້າເຖິງຊື່ຂອງ NFTs ທີ່ເຊື່ອມຕໍ່ກັບເປົ້າຫມາຍແລະທີ່ຢູ່ wallet ທີ່ສອດຄ້ອງກັນຂອງເຂົາເຈົ້າ.
ຄວາມກັງວົນດ້ານຄວາມປອດໄພຂອງ OpenSea
ລາຍງານວ່າທີມງານ OpenSea ໄດ້ແກ້ໄຂບັນຫາໂດຍການອອກ patch ຢ່າງໄວວາເພື່ອແກ້ໄຂຈຸດອ່ອນ. ທີມງານ Imperva ຢືນຢັນວ່າ patch ນີ້ຈໍາກັດການສື່ສານຂ້າມແຫຼ່ງແລະຈະປ້ອງກັນການຂູດຮີດໃນອະນາຄົດ, ດັ່ງນັ້ນຈຶ່ງປະສົບຜົນສໍາເລັດໃນການແກ້ໄຂໄພຂົ່ມຂູ່.
ຢ່າງໃດກໍ່ຕາມ, ນີ້ບໍ່ແມ່ນໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພທໍາອິດທີ່ OpenSea ປະເຊີນ. ໃນເດືອນກັນຍາ 2021, ແພລະຕະຟອມໄດ້ປະສົບກັບແມງໄມ້ທີ່ສົ່ງຜົນໃຫ້ ການລຶບ NFTs ມູນຄ່າ 28.44 ETH ຫຼື $100,000. ຕໍ່ໄປອີກຫນຶ່ງປີຕໍ່ມາ, ໃນເດືອນກຸມພາ 2022, OpenSea ໄດ້ຖືກເປົ້າຫມາຍໂດຍແຮກເກີທີ່ໄດ້ລັກເອົາຫຼາຍໆຄັ້ງ. NFTs ມູນຄ່າສູງ ຈາກຜູ້ໃຊ້ຂອງເວທີ.
ການປະຕິເສດ: ບົດຂຽນນີ້ແມ່ນສະ ໜອງ ໃຫ້ເພື່ອຈຸດປະສົງຂໍ້ມູນເທົ່ານັ້ນ. ມັນບໍ່ໄດ້ຖືກສະ ເໜີ ຫຼືມີຈຸດປະສົງທີ່ຈະ ນຳ ໃຊ້ເປັນກົດ ໝາຍ, ພາສີ, ການລົງທືນ, ການເງິນ, ຫລື ຄຳ ແນະ ນຳ ອື່ນໆ.
ທີ່ມາ: https://cryptodaily.co.uk/2023/03/opensea-patches-potentially-serious-vulnerability