OpenSea, posiblemente el mercado más popular del mundo para tokens no fungibles (NFT), tenía una vulnerabilidad que permitía a los piratas eliminar el anonimato de los usuarios y posiblemente incluso revelar sus identidades completas.
Esto es según un nuevo informe de investigadores de ciberseguridad que forman parte del Equipo Rojo de Imperva. (se abre en una pestaña nueva)quien notificó a OpenSea y luego confirmó que la vulnerabilidad se había solucionado correctamente.
En una publicación de blog que detalla los hallazgos, los investigadores de Imperva dijeron que el sitio web de OpenSea tenía una vulnerabilidad de búsqueda entre sitios, ya que no restringía la comunicación entre orígenes. La raíz del problema era la biblioteca iFrame-resizer.
Exponiendo a los propietarios de NFT
Los investigadores explicaron: “La biblioteca iFrame-resizer transmite el ancho y el alto de la página, que se puede usar como un “oráculo” para determinar cuándo una búsqueda determinada arroja resultados porque la página es más pequeña cuando una búsqueda arroja cero resultados. Mediante la búsqueda continua de los activos del usuario, lo que se realiza en origen cruzado a través de una pestaña o ventana emergente, un atacante puede filtrar el nombre de un NFT creado por el usuario, revelando así su dirección de billetera pública. Esta información puede asociar la identidad del usuario (se abre en una pestaña nueva) con el NFT filtrado y la dirección de la billetera pública”.
Como resultado, las identidades de las víctimas podrían verse expuestas, concluyeron los investigadores.
Para explotar la falla, un atacante podría enviar un enlace a la víctima, ya sea por correo electrónico, SMS o cualquier otro canal de comunicación. Al hacer clic en el enlace, la víctima revela información valiosa, como la dirección IP, el agente de usuario, los detalles del dispositivo, las versiones de software y anuncios similares.
A continuación, el atacante aprovecharía la vulnerabilidad de búsqueda entre sitios para extraer uno de los nombres NFT del objetivo. Y al asociar la dirección de billetera pública/NFT filtrada con el objetivo, el atacante podría exponer la verdadera identidad de la víctima.
Después de revelar la falla al mercado, OpenSea «rápidamente» lanzó un parche, dijeron los investigadores. La falla se solucionó restringiendo la comunicación de origen cruzado, mitigando así el riesgo de una mayor explotación, concluyeron.