Уязвимость межсайтового поиска ставит под угрозу доверие пользователей к NFT и OpenSea.
Исследователи безопасности из команды Imperva Red Team обнаружили уязвимость межсайтового поиска (видео , демонстрирующее работу уязвимости.
Все, что нужно сделать хакеру, — это привязать IP-адрес, адрес электронной почты или сеанс браузера к определенному NFT. В результате киберпреступник получает доступ к адресу кошелька, который раскрывает личность пользователя.
Злоумышленник отправляет своей цели ссылку через различные каналы связи, например, SMS или электронную почту. Когда жертва нажимает на ссылку, информация о его IP-адресе, устройстве, useragent и версии ПО отправляется киберпреступнику.
Затем злоумышленник может использовать уязвимость межсайтового поиска, чтобы получить идентификатор NFT жертвы и сопоставить раскрытый адрес NFT-кошелька с номером телефона или адресом электронной почты, на который была отправлена ссылка.
Ошибка вызвана неправильной конфигурацией библиотеки «iFrame-resizer», которая использует OpenSea. Когда эта библиотека используется там, где обмен данными между источниками не ограничен, возникает уязвимость межсайтового поиска. OpenSea не ограничивал обмен данными, что привело к этой проблеме.
Эта неправильная конфигурация позволяет раскрыть личность пользователя. Учитывая тот факт, что экосистема NFT полностью основана на анонимности, такой недостаток может иметь серьезные последствия для бизнеса OpenSea, поскольку в случае его использования злоумышленник может начать фишинговые атаки, а также может отслеживать пользователей, которые приобрели NFT с наибольшей стоимостью.
Как работает уязвимость межсайтового поиска
Уязвимость межсайтового поиска (XS-Search) основана на семействе атак XS-Leaks. XS-Search можно найти в веб-приложениях, использующих механизмы поиска на основе запросов.
Уязвимость позволяет злоумышленнику извлекать конфиденциальную информацию из другого источника, отправляя запросы и наблюдая за различиями в поведении поисковой системы, когда она возвращает или не возвращает результаты. Хакер постепенно собирает информацию о пользователе, отправляя многочисленные запросы поисковой системе и используя заметные различия в поведении системы для извлечения данных жертвы.
После раскрытия уязвимости OpenSea быстро исправила ее, выпустив обновление, ограничивающее обмен данными между источниками ( Cross-Origin Resource Sharing, CORS ). Исправление предотвратило дальнейшее использование уязвимости.
