OpenSea, kaynaklar arası iletişimi kısıtlayan bir yama yayınlayarak güvenlik açığını düzeltti.
2022’de Açık deniz 1 milyondan fazla kayıtlı kullanıcıya sahip ve web sitesine aylık 121 milyondan fazla ziyaretçi geldi. Bu, OpenSea’yi yalnızca en büyük NFT pazarı değil, aynı zamanda siber suçlular için kazançlı bir hedef haline getiriyor. Herhangi platformdaki güvenlik açığı kötü niyetli aktörler için bir fırsata dönüşebilir ve şüphelenmeyen kullanıcılar için felaket anlamına gelebilir.
OpenSea NFT pazarındaki bu türden istismar edilebilir bir güvenlik açığı, Imperva araştırmacıları tarafından tespit edildi.
Güvenlik Açığı Ayrıntıları
Imperva Kırmızı Ekibi, dünyanın en büyük NFT pazarı olan OpenSea’yı etkileyen bir güvenlik açığı keşfetti. Siteler arası bir aramadır (XS-Arama) Bir saldırganın bir kullanıcının kimliğini elde etmek için yararlanabileceği güvenlik açığı.
Saldırganın tek yapması gereken, bir IP adresini, bir e-postayı veya bir tarayıcı oturumunu belirli bir sunucuya bağlamaktır. NFT (non-fungible token), böylece kullanıcının kimliğini ortaya çıkaracak bir cüzdan adresine erişim. Bu sorun, OpenSea kullanıcılarının anonimliğini ortadan kaldırdığı için endişe vericidir.
Sömürü Mekanizması
Saldırgan, hedefine SMS veya e-posta gibi farklı iletişim kanalları aracılığıyla bir bağlantı gönderir. Kurban bu bağlantıya tıklarsa, IP adresi, cihaz ayrıntıları, kullanıcı aracısı ve yazılım sürümleri gibi değerli veriler sızdırılır.
Saldırgan daha sonra siteler arası arama güvenlik açığından yararlanarak kurbanın NFT’sini almak sızan genel/NFT cüzdan adresini, bağlantının ilk gönderildiği telefon numarası veya e-posta gibi bu kimlikle ilişkilendirin.
Soruna Ne Sebep Olur?
Bunun nedeni, 13,3 milyar dolarlık pazarın kullandığı iFrame-resizer kitaplığının yanlış yapılandırılmasıdır. Bu kitaplık, kaynaklar arası iletişimin kısıtlanmadığı yerlerde kullanıldığında, siteler arası arama güvenlik açığı oluşur. OpenSea bunu kısıtlamadı ve bu da bu soruna yol açtı.
Bu yanlış yapılandırma, bu kusurun geçerli olmasını ve kullanıcı kimliklerini açığa çıkarmasını sağlar. NFT ekosisteminin tamamen anonimliğe dayalı olduğu gerçeği göz önüne alındığında, bu tür bir kusurun OpenSea’nın işi için ciddi sonuçları olabilir çünkü saldırgan istismar edilirse kimlik avı saldırıları başlatabilir.
Alternatif olarak, en yüksek değerli NFT’leri satın almış olan kullanıcıları izleyebilirler. Araştırmacılar, pazarın ElasticSearch aracı bir sitesinde ElasticSearch becerilerinin reklamını yaptığı için iş ilanları.
Güvenlik açığının PoC’sini izleyin
Siteler Arası Arama Güvenlik Açığı Anlama:
XS-Search olarak da adlandırılan Siteler Arası Arama güvenlik açığı, XS-Sızıntılar saldırı ailesi Sorgu tabanlı arama mekanizmalarını kullanan web uygulamalarında bulunur.
Bu güvenlik açığı, bir saldırganın yalnızca sorgular göndererek ve arama sisteminin bununla sonuç verip vermediği davranışındaki farkı belirleyerek başka bir kaynaktan hassas bilgiler elde etmesine olanak tanır. Tehdit aktörü, çok sayıda sorgu göndererek bilgi toplar. Temel olarak, bir web uygulamasından hassas bilgileri çıkarabilir.
Düzeltildi mi?
göre bir Blog yazısı Imprava’nın Hackread.com ile paylaştığı güvenlik açığının açıklanmasının ardından OpenSea, kaynaklar arası iletişimi kısıtlayan bir yama yayınlayarak hızla düzeltti. Bu, güvenlik açığından daha fazla yararlanılmasını azalttı.
Ancak bu, yanlış yapılandırmanın kolayca gözden kaçabileceği ve nihayetinde merkezi olmayan uygulamalarda veya dApp’lerde istismar edilebileceği son derece karmaşık bir uygulama alanında işletmelerin güvenliği sağlamada karşılaştığı devam eden zorlukların altını çiziyor.
ortaya çıkması ve ilerlemesi ile Web3 ve dApp’ler, birçok yeni zorluk da ortaya çıktı. Bu ortamlar ne kadar popüler hale geldiyse, istismar edilme riskleri de o kadar arttı.
Bu nedenle, bu platformların istismar edilmesini önlemek için uyanık kalmak ve doğal kusurları ve güvenlik açıklarını zamanında tespit etmek önemlidir.
ALAKALI HABERLER
- Resmi Ferrari Alt Alan Adı, NFT Dolandırıcılığına Barındırmak İçin Ele Geçirildi
- Bu Yapay Zeka Benzersiz ve Ücretsiz Sıkılmış Maymun NFT’leri Oluşturabilir
- Kimlik Avı: OpenSea Kullanıcılarından 1,7 Milyon Dolar Değerinde NFT’ler Çalındı
- Bilgisayar korsanları, Animoca’nın Lympo NTF pazarından 18,7 milyon dolar çaldı
- NFT Market OpenSea veri ihlali – Kullanıcıların e-posta kimlikleri sızdırıldı