ຕະຫຼາດເຄື່ອງໝາຍການຄ້າທີ່ບໍ່ປອດພັຍ (NFT) OpenSea ໄດ້ຖືກລາຍງານວ່າໄດ້ແກ້ໄຂຊ່ອງໂຫວ່ທີ່, ຖ້າຖືກຂູດຮີດ, ສາມາດເປີດເຜີຍຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້ທີ່ບໍ່ເປີດເຜີຍຊື່ຂອງມັນ.
ໃນວັນທີ 9 ມີນາ blog, ບໍລິສັດຄວາມປອດໄພທາງອິນເຕີເນັດ Imperva ລາຍລະອຽດວິທີການມັນ ຄົ້ນພົບຈຸດອ່ອນ ທີ່ມັນອ້າງວ່າສາມາດປະຕິເສດຜູ້ໃຊ້ OpenSea "ໂດຍການເຊື່ອມໂຍງທີ່ຢູ່ IP, ເຊດຊັນຂອງຕົວທ່ອງເວັບ, ຫຼືອີເມວໃນບາງເງື່ອນໄຂ" ກັບ NFT.
ໃນຖານະເປັນ NFT ກົງກັບທີ່ຢູ່ກະເປົາເງິນ cryptocurrency, ຕົວຕົນທີ່ແທ້ຈິງຂອງຜູ້ໃຊ້ສາມາດຖືກເປີດເຜີຍຈາກຂໍ້ມູນທີ່ລວບລວມແລະເຊື່ອມໂຍງກັບກະເປົາເງິນແລະກິດຈະກໍາຂອງມັນ, Imperva ອະທິບາຍ.
ທີມ Imperva Red ຄົ້ນພົບຊ່ອງໂຫວ່ການຊອກຫາຂ້າມເວັບໄຊທີ່ມີຜົນກະທົບ #NFT ຕະຫຼາດ # ໂອເປສ.
ຊ່ອງໂຫວ່ນີ້ເຮັດໃຫ້ການປິດບັງຊື່ຂອງຜູ້ໃຊ້, ອາດຈະເປີດເຜີຍຕົວຕົນຂອງຜູ້ໃຊ້. https://t.co/nGQWceeGEc
— Imperva (@Imperva) ມີນາ 9, 2023
ການຂູດຮີດແມ່ນເຂົ້າໃຈວ່າໄດ້ໃຊ້ປະໂຫຍດຈາກຊ່ອງໂຫວ່ການຊອກຫາຂ້າມເວັບໄຊ. Imperva ອ້າງວ່າ OpenSea ໄດ້ປັບຕັ້ງຄ່າຫ້ອງສະໝຸດທີ່ບໍ່ຖືກຕ້ອງທີ່ປັບຂະໜາດອົງປະກອບໜ້າເວັບທີ່ໂຫຼດເນື້ອຫາ HTML ຈາກບ່ອນອື່ນທີ່ປົກກະຕິແລ້ວໃຊ້ເພື່ອວາງໂຄສະນາ, ເນື້ອຫາໂຕ້ຕອບ ຫຼືວິດີໂອທີ່ຝັງໄວ້.
ເນື່ອງຈາກ OpenSea ບໍ່ໄດ້ຈໍາກັດການສື່ສານຂອງຫ້ອງສະຫມຸດນີ້, ຜູ້ຂູດຮີດສາມາດນໍາໃຊ້ຂໍ້ມູນທີ່ມັນອອກອາກາດເປັນ "oracle" ເພື່ອແຄບລົງເມື່ອການຄົ້ນຫາບໍ່ມີຜົນໄດ້ຮັບຍ້ອນວ່າຫນ້າເວັບຈະນ້ອຍລົງ.
Imperva ລາຍລະອຽດວ່າຜູ້ໂຈມຕີຈະ ສົ່ງເປົ້າຫມາຍຂອງເຂົາເຈົ້າເປັນການເຊື່ອມຕໍ່ ຜ່ານທາງອີເມລ໌ຫຼື SMS ເຊິ່ງຖ້າຄລິກ "ເປີດເຜີຍຂໍ້ມູນທີ່ມີຄຸນຄ່າ, ເຊັ່ນ: ທີ່ຢູ່ IP ຂອງເປົ້າຫມາຍ, ຕົວແທນຜູ້ໃຊ້, ລາຍລະອຽດອຸປະກອນ, ແລະສະບັບຊອບແວ."
ຫຼັງຈາກນັ້ນ, ຜູ້ໂຈມຕີຈະໃຊ້ຊ່ອງໂຫວ່ຂອງ OpenSea ເພື່ອສະກັດຊື່ NFT ຂອງເປົ້າຫມາຍຂອງພວກເຂົາແລະເຊື່ອມໂຍງທີ່ຢູ່ wallet ທີ່ສອດຄ້ອງກັນກັບຂໍ້ມູນການລະບຸຕົວຕົນເຊັ່ນ: ອີເມວຫຼືເບີໂທລະສັບທີ່ຖືກສົ່ງກັບຕົ້ນສະບັບ.
Imperva ກ່າວວ່າ OpenSea "ແກ້ໄຂບັນຫາຢ່າງໄວວາ" ແລະຈໍາກັດການສື່ສານຂອງຫ້ອງສະຫມຸດຢ່າງຖືກຕ້ອງແລະລາຍງານວ່າເວທີ "ບໍ່ມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີດັ່ງກ່າວອີກຕໍ່ໄປ."
ທີ່ກ່ຽວຂ້ອງ: ທີມງານຄວາມປອດໄພສ້າງ dashboard ເພື່ອກວດພົບການແຮັກ NFT ທີ່ເປັນໄປໄດ້ໃນ OpenSea
ຜູ້ໃຊ້ແພລດຟອມໄດ້ຕົກເປັນເຫຍື່ອຂອງການໂຈມຕີມາດົນນານແລ້ວ ທີ່ເຮັດຕາມໜ້າທີ່ຂອງ OpenSea ເພື່ອດໍາເນີນການຂູດຮີດ, ເຊັ່ນເວັບໄຊທ໌ phishing ທີ່ຄ້າຍຄືກັບແພລດຟອມ ຫຼື ການຮ້ອງຂໍລາຍເຊັນປະກົດຂຶ້ນ ມີຕົ້ນກຳເນີດມາຈາກ OpenSea.
OpenSea ຕົວຂອງມັນເອງ ໄດ້ປະເຊີນກັບການວິພາກວິຈານ ສໍາລັບຄວາມປອດໄພເວທີຂອງຕົນເນື່ອງຈາກ a ການໂຈມຕີ phishing ທີ່ສໍາຄັນ ໃນເດືອນກຸມພາ 2022 ທີ່ສົ່ງຜົນໃຫ້ຫຼາຍກວ່າ $1.7 ລ້ານຂອງ NFTs ຖືກລັກຈາກຜູ້ໃຊ້.
ສໍາລັບ patch ທີ່ຜ່ານມາ, ມັນບໍ່ຮູ້ວ່າມັນມີຢູ່ດົນປານໃດຫຼືວ່າຜູ້ໃຊ້ໃດໄດ້ຮັບຜົນກະທົບຈາກການຂູດຮີດ.
OpenSea ບໍ່ທັນຕອບສະ ໜອງ ຕໍ່ ຄຳ ຮ້ອງຂໍຄວາມເຫັນຂອງ Cointelegraph.
ທີ່ມາ: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities