- La faille sur OpenSea, lorsqu'elle a été exploitée avec succès, aurait pu permettre à l'attaquant d'obtenir l'identité des utilisateurs.
- OpenSea a rapidement résolu le problème après que la vulnérabilité est apparue.
Entreprise de cybersécurité Imperva a détecté une vulnérabilité majeure sur le marché NFT populaire OpenSea, qui, une fois exploité avec succès, pourrait permettre à l'attaquant d'obtenir l'identité des utilisateurs sur la plate-forme.
Selon Imperva, la mauvaise configuration de la bibliothèque iFrame-resizer utilisée par OpenSea était la principale raison de la vulnérabilité.
Fournissant plus de détails sur le mécanisme d'exploitation du problème, Imperva a déclaré que l'attaquant enverrait un lien par e-mail ou SMS.
Si la victime clique sur le lien, des informations vitales telles que l'adresse IP de la cible, l'agent utilisateur, les détails de l'appareil et les versions du logiciel seront récupérées.
La vulnérabilité de la recherche intersite serait alors exploitée pour obtenir les noms NFT de la cible et l'attaquant associerait alors l'adresse NFT/portefeuille public divulguée à l'e-mail ou au numéro de téléphone auquel le lien a été initialement envoyé.
Cependant, le rapport d'Imperva mentionnait qu'OpenSea avait résolu le problème après son signalement et que le marché n'était plus exposé à de telles attaques.
Passé entaché
OpenSea a fait face à de sérieuses inquiétudes concernant la sécurité de la plate-forme dans le passé. En février 2022, il était au centre de l'un des plus grands hacks de l'écosystème NFT.
Au cours de l'exploit, 1.7 million de dollars de NFT ont été volés dans les portefeuilles des utilisateurs. La violation a été reconnue par le PDG d'OpenSea, Devin Finzer.
Une autre mise à jour : au cours des dernières heures, nous avons parlé à des dizaines de personnes, d'équipes et de projets à travers l'espace NFT. https://t.co/fB5r3cMA1r
- Devin Finzer (dfinzer.eth) (@dfinzer) 20 février 2022
En moins de trois mois, le marché a de nouveau été touché lorsque son le canal discord a été compromis. Les pirates ont publié une fausse nouvelle de collaboration sur YouTube qui comprenait un lien vers un site de phishing.
L'impact des hacks a poussé OpenSea à prendre des mesures concrètes pour protéger ses utilisateurs. Le mois dernier, il a introduit un période de grâce de trois heures pendant lesquelles les vendeurs seront empêchés d'accepter des offres après une supposée vente.
L'activité commerciale diminue
Pendant ce temps, OpenSea a vu une baisse significative de l'activité de trading sur la plateforme depuis la mi-février. Le trading hebdomadaire de NFT a plongé de 40% jusqu'à l'heure de la presse, selon les données de Token Terminal.
En conséquence, les redevances versées aux créateurs ont également diminué. Les frais hebdomadaires du côté de l'offre ont chuté de 40% au moment de la rédaction, ce qui pourrait dissuader les créateurs intéressés de répertorier leur travail sur le marché.
Source: Terminal à jetons
OpenSea avait été durement touché à cause de la Flou [FLOU] tempête qui a balayé l'écosystème du marché NFT. Selon les données de Dune Analytics, la part d'OpenSea dans le volume total des transactions sur tous les marchés a été réduite à 26 %.
Cependant, il a quand même réussi à conserver une part importante de la base d'utilisateurs et du nombre total de ventes, avec une domination de 62.8 % et 51 % respectivement.
Source : Dune Analytics
Source : https://ambcrypto.com/opensea-fixes-a-major-vulnerability-that-could-have-leaked-your-identity/