OpenSea Patches ອາດມີຊ່ອງໂຫວ່ຮ້າຍແຮງ

ຕະຫຼາດ NFT OpenSea ບໍ່ດົນມານີ້ໄດ້ແກ້ໄຂຊ່ອງໂຫວ່ໃນລະຫັດຂອງພວກເຂົາທີ່ສາມາດຖືກຂູດຮີດຂໍ້ມູນຜູ້ໃຊ້ຮົ່ວໄຫຼ. 

Imperva ກວດພົບຊ່ອງໂຫວ່ OpenSea

ໃນວັນທີ 9 ມີນານີ້, ບໍລິສັດຄວາມປອດໄພທາງອິນເຕີເນັດ Imperva ໄດ້ຊີ້ໃຫ້ເຫັນເຖິງຄວາມອ່ອນແອໃນ Opensea ເວທີ. ບໍລິສັດໄດ້ເຜີຍແຜ່ບົດຄວາມ blog ທີ່ລາຍລະອຽດການຄົ້ນພົບຂອງມັນແລະອ້າງວ່າຈຸດອ່ອນດັ່ງກ່າວເຮັດໃຫ້ເກີດໄພຂົ່ມຂູ່ຕໍ່ຄວາມປອດໄພທີ່ຮ້າຍແຮງຕໍ່ຂໍ້ມູນຜູ້ໃຊ້. ຜູ້ກະທຳທີ່ເປັນອັນຕະລາຍສາມາດນຳໃຊ້ແມງໄມ້ເພື່ອເປີດເຜີຍຂໍ້ມູນສ່ວນຕົວກ່ຽວກັບຜູ້ໃຊ້ ເຊັ່ນ: ເບີໂທລະສັບ ແລະ ID ອີເມວຂອງເຂົາເຈົ້າ. 

ທີມງານໄດ້ tweeted, 

"ທີມງານ Imperva Red ຄົ້ນພົບຊ່ອງໂຫວ່ການຊອກຫາຂ້າມເວັບໄຊທ໌ທີ່ມີຜົນກະທົບຕໍ່ຕະຫຼາດ NFT OpenSea."

ຊ່ອງ​ໂຫວ່​ນີ້​ເຮັດ​ໃຫ້​ການ​ປິດ​ບັງ​ຊື່​ຂອງ​ຜູ້​ໃຊ້, ອາດ​ຈະ​ເປີດ​ເຜີຍ​ຕົວ​ຕົນ​ຂອງ​ຜູ້​ໃຊ້.

ອີງຕາມບົດລາຍງານ, ຜູ້ໃຊ້ OpenSea ທີ່ບໍ່ເປີດເຜີຍຊື່ສາມາດຖືກເປີດເຜີຍໂດຍການຈັດການຂໍ້ຜິດພາດນີ້ແລະການເຊື່ອມໂຍງທີ່ຢູ່ IP, ຊ່ວງເວລາຂອງຕົວທ່ອງເວັບ, ຫຼືແມ້ກະທັ້ງອີເມວໄປຫາ NFT. ດັ່ງນັ້ນ, ຜູ້ຊື້ທີ່ບໍ່ເປີດເຜີຍຊື່ສາມາດມີຄວາມສ່ຽງຕໍ່ການເປີດເຜີຍຕົວຕົນຂອງພວກເຂົາຖ້າທີ່ຢູ່ crypto wallet ທີ່ສອດຄ້ອງກັນຖືກເປີດເຜີຍໃນການເຊື່ອມຕໍ່ກັບຂໍ້ມູນທີ່ເກັບກໍາຈາກທີ່ຢູ່ກໍານົດ. 

ສາເຫດຫຼັກ – ການຕັ້ງຫ້ອງສະໝຸດຜິດ

ບົດ​ລາຍ​ງານ​ໄດ້​ວິ​ເຄາະ​ຕື່ມ​ກ່ຽວ​ກັບ​ສາ​ເຫດ​ຕົ້ນ​ຕໍ​ຂອງ​ບັນ​ຫາ​, ການ​ກໍາ​ນົດ​ການ​ຕັ້ງ​ຄ່າ​ຜິດ​ພາດ​ຂອງ​ຫ້ອງ​ສະ​ຫມຸດ iFrame-resizer ນໍາ​ໃຊ້​ໂດຍ​. ເວທີ NFT, ເຊິ່ງເຮັດໃຫ້ເກີດຄວາມອ່ອນແອຂອງການຄົ້ນຫາຂ້າມເວັບໄຊທ໌. ນີ້ຫມາຍຄວາມວ່າແພລະຕະຟອມໄດ້ປັບຄ່າຫ້ອງສະຫມຸດທີ່ບໍ່ຖືກຕ້ອງທີ່ປັບຂະຫນາດອົງປະກອບຫນ້າເວັບທີ່ໂຫລດເນື້ອຫາ HTML ຈາກບ່ອນອື່ນ. 

ຄຸນສົມບັດນີ້ຖືກໃຊ້ເພື່ອວາງໂຄສະນາ, ເນື້ອຫາແບບໂຕ້ຕອບ ຫຼືວິດີໂອທີ່ຝັງໄວ້. ເນື່ອງຈາກແພລະຕະຟອມ OpenSea ບໍ່ໄດ້ຈໍາກັດການສື່ສານຂອງຫ້ອງສະຫມຸດນີ້, ມັນຈະເປັນການງ່າຍສໍາລັບແຮກເກີແລະນັກສະແດງທີ່ເປັນອັນຕະລາຍອື່ນໆທີ່ຈະຈັດການຂໍ້ມູນທີ່ອອກອາກາດແລະໃຊ້ມັນເປັນ "oracle" ເພື່ອກໍານົດເປົ້າຫມາຍ. 

ເຂົາເຈົ້າສາມາດສົ່ງເປົ້າໝາຍໄດ້ຜ່ານທາງອີເມລ໌ ຫຼື SMS. ຖ້າເປົ້າຫມາຍຄລິກໃສ່ການເຊື່ອມຕໍ່, ຂໍ້ມູນສ່ວນຕົວຂອງພວກເຂົາ, ລວມທັງທີ່ຢູ່ IP, ຕົວແທນຜູ້ໃຊ້, ລາຍລະອຽດອຸປະກອນ, ແລະສະບັບຊອບແວ, ຈະຖືກເປີດເຜີຍ. ທີ່​ຢູ່​ອີ​ເມລ​໌​ແລະ​ເບີ​ໂທລະ​ສັບ​ສາ​ມາດ​ເຮັດ​ຫນ້າ​ທີ່​ເປັນ​ຕະ​ຫຼາດ​ການ​ລະ​ບຸ​ເພື່ອ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາ​ມາດ​ເຂົ້າ​ເຖິງ​ຊື່​ຂອງ NFTs ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ​ເປົ້າ​ຫມາຍ​ແລະ​ທີ່​ຢູ່ wallet ທີ່​ສອດ​ຄ້ອງ​ກັນ​ຂອງ​ເຂົາ​ເຈົ້າ​. 

ຄວາມກັງວົນດ້ານຄວາມປອດໄພຂອງ OpenSea

ລາຍງານວ່າທີມງານ OpenSea ໄດ້ແກ້ໄຂບັນຫາໂດຍການອອກ patch ຢ່າງໄວວາເພື່ອແກ້ໄຂຈຸດອ່ອນ. ທີມງານ Imperva ຢືນຢັນວ່າ patch ນີ້ຈໍາກັດການສື່ສານຂ້າມແຫຼ່ງແລະຈະປ້ອງກັນການຂູດຮີດໃນອະນາຄົດ, ດັ່ງນັ້ນຈຶ່ງປະສົບຜົນສໍາເລັດໃນການແກ້ໄຂໄພຂົ່ມຂູ່. 

ຢ່າງໃດກໍ່ຕາມ, ນີ້ບໍ່ແມ່ນໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພທໍາອິດທີ່ OpenSea ປະເຊີນ. ໃນເດືອນກັນຍາ 2021, ແພລະຕະຟອມໄດ້ປະສົບກັບແມງໄມ້ທີ່ສົ່ງຜົນໃຫ້ ການລຶບ NFTs ມູນຄ່າ 28.44 ETH ຫຼື $100,000. ຕໍ່ໄປອີກຫນຶ່ງປີຕໍ່ມາ, ໃນເດືອນກຸມພາ 2022, OpenSea ໄດ້ຖືກເປົ້າຫມາຍໂດຍແຮກເກີທີ່ໄດ້ລັກເອົາຫຼາຍໆຄັ້ງ. NFTs ມູນຄ່າສູງ ຈາກຜູ້ໃຊ້ຂອງເວທີ. 

ການປະຕິເສດ: ບົດຂຽນນີ້ແມ່ນສະ ໜອງ ໃຫ້ເພື່ອຈຸດປະສົງຂໍ້ມູນເທົ່ານັ້ນ. ມັນບໍ່ໄດ້ຖືກສະ ເໜີ ຫຼືມີຈຸດປະສົງທີ່ຈະ ນຳ ໃຊ້ເປັນກົດ ໝາຍ, ພາສີ, ການລົງທືນ, ການເງິນ, ຫລື ຄຳ ແນະ ນຳ ອື່ນໆ.