Según se informa, el mercado de tokens no fungibles OpenSea ha reparado una vulnerabilidad que, de haber sido explotada, podría haber expuesto información de identificación sobre sus usuarios anónimos.
En una publicación de blog del 9 de marzo, la firma de ciberseguridad Imperva detallado cómo descubrió la vulnerabilidad, que, según afirmó, podría desanonimizar a los usuarios de OpenSea “al vincular una dirección IP, una sesión de navegador o un correo electrónico en ciertas condiciones” a un NFT.
Como el NFT corresponde a una dirección de billetera de criptomonedas, la identidad real de un usuario podría revelarse a partir de la información recopilada y vinculada a la billetera y su actividad, explicó Imperva.
Imperva Red Team descubrió una vulnerabilidad de búsqueda entre sitios que afectaba a la #NFT mercado #Mar abierto.
Esta vulnerabilidad permite la eliminación del anonimato de los usuarios, lo que podría revelar la identidad de un usuario. https://t.co/nGQWceeGEc
—Imperva (@Imperva) 9 de marzo de 2023
Se entiende que el exploit se aprovechó de una vulnerabilidad de búsqueda entre sitios. Imperva afirmó que OpenSea había configurado incorrectamente una biblioteca que cambia el tamaño de los elementos de la página web que cargan contenido HTML desde otro lugar que normalmente se usa para colocar anuncios, contenido interactivo o videos incrustados.
Dado que OpenSea no restringió las comunicaciones de esta biblioteca, los explotadores podrían usar la información que transmite como un “oráculo” para limitar las búsquedas cuando las búsquedas no arrojan resultados, ya que la página web sería más pequeña.
Imperva detalló que un atacante enviaría a su objetivo un enlace por correo electrónico o SMS, que si se hace clic “revela información valiosa, como la dirección IP del objetivo, el agente de usuario, los detalles del dispositivo y las versiones de software”.
Luego, el atacante usaría la vulnerabilidad de OpenSea para extraer los nombres NFT de su objetivo y asociar la dirección de la billetera correspondiente con información de identificación, como un correo electrónico o un número de teléfono al que se envió el enlace original.
Imperva dijo que OpenSea “resolvió rápidamente el problema” y restringió adecuadamente las comunicaciones de la biblioteca, informando que la plataforma “ya no estaba en riesgo de tales ataques”.
Relacionado: El equipo de seguridad crea un tablero para detectar posibles ataques NFT en OpenSea
Los usuarios de la plataforma han sido durante mucho tiempo víctimas de ataques que imitan las funciones de OpenSea para realizar exploits, como sitios web de phishing que se asemejan a la plataforma o solicitudes de firma que parecen originarse en OpenSea.
OpenSea en sí ha enfrentado críticas por la seguridad de su plataforma debido a un gran ataque de phishing en febrero de 2022 que resultó en el robo de más de $ 1.7 millones en NFT de los usuarios.
En cuanto al parche reciente, se desconoce cuánto tiempo existió o si algún usuario se vio afectado por el exploit.
OpenSea no respondió de inmediato a la solicitud de comentarios de Cointelegraph.