OpenSea, il marketplace di token non fungibili, avrebbe corretto una vulnerabilità che, se exploitata, avrebbe potuto esporre informazioni sull'identità dei suoi utenti anonimi. 

In un articolo del 9 Marzo, Imperva, società di cybersicurezza, ha descritto in dettaglio come ha scoperto la vulnerabilità, che, a suo dire, potrebbe deanonimizzare gli utenti di OpenSea "collegando un indirizzo IP, una sessione del browser o un'e-mail in determinate condizioni" a un NFT.

Poiché l'NFT corrisponde all'indirizzo di un wallet, la vera identità di un utente potrebbe essere rivelata dalle informazioni raccolte e collegate al wallet e alla sua attività, ha spiegato Imperva.

Il Red Team di Imperva ha scoperto una vulnerabilità di ricerca cross-site che interessa il marketplace #NFT #OpenSea.

Questa vulnerabilità consente la deanonimizzazione degli utenti, rivelandone potenzialmente l'identità. https://t.co/nGQWceeGEc

— Imperva (@Imperva) March 9, 2023

Si ritiene che l'exploit abbia sfruttato una vulnerabilità di ricerca cross-site. Imperva ha affermato che OpenSea aveva configurato in modo errato una libreria che ridimensiona gli elementi delle pagine web che caricano il contenuto HTML da altri siti, solitamente utilizzati per inserire annunci, contenuti interattivi o video incorporati.

Poiché OpenSea non limitava le comunicazioni di questa libreria, gli exploiter potevano utilizzare le informazioni trasmesse come "oracolo" per restringere il campo quando le ricerche non davano risultati, poiché la pagina web era più piccola.

Imperva ha spiegato che un aggressore avrebbe inviato all'obiettivo un link tramite e-mail o SMS, che se cliccato "rivela informazioni preziose, come indirizzo IP dell'obiettivo, user agent, dettagli del dispositivo e versioni del software".

Screenshot of OpenSea's front page. Source: OpenSea

L'aggressore avrebbe quindi utilizzato la vulnerabilità di OpenSea per estrarre i nomi degli NFT del proprio obiettivo e associare l'indirizzo del wallet corrispondente a informazioni identificative come un'e-mail o un numero di telefono a cui è stato inviato il link originale.

Imperva ha dichiarato che OpenSea ha "affrontato rapidamente il problema" e ha limitato opportunamente le comunicazioni della libreria, riferendo che la piattaforma "non è più a rischio per questo tipo di attacchi".

Da tempo gli utenti della piattaforma sono vittime di attacchi che imitano le funzioni di OpenSea, come siti web di phishing che assomigliano alla piattaforma o richieste di firma che sembrano provenire dal marketplace.

Lo stesso OpenSea è stato criticato per la sicurezza della sua piattaforma a causa di un grave attacco di phishing avvenuto nel Febbraio 2022, che ha portato al furto di NFT per un valore di oltre 1,7 milioni di dollari.

Quanto alla recente patch, non si sa da quanto tempo esista o se qualche utente sia stato colpito dall'exploit.

OpenSea non ha risposto immediatamente alla richiesta di commento da parte di Cointelegraph.