Le marché des jetons non fongibles (NFT) OpenSea aurait corrigé une vulnérabilité qui, si elle était exploitée, pourrait exposer des informations d’identification sur ses utilisateurs anonymes.
Dans un 9 mars Blogla société de cybersécurité Imperva a détaillé comment il découvert la vulnérabilité qui, selon elle, pourrait désanonymiser les utilisateurs d’OpenSea “en liant une adresse IP, une session de navigateur ou un e-mail dans certaines conditions” à un NFT.
Comme le NFT correspond à une adresse de portefeuille de crypto-monnaie, la véritable identité d’un utilisateur pourrait être révélée à partir des informations recueillies et liées au portefeuille et à son activité, a expliqué Imperva.
Imperva Red Team a découvert une vulnérabilité de recherche intersite affectant le #NFT marché #OpenSea.
Cette vulnérabilité permet la désanonymisation des utilisateurs, révélant potentiellement l’identité d’un utilisateur. https://t.co/nGQWceeGEc
– Imperva (@Imperva) 9 mars 2023
L’exploit aurait profité d’une vulnérabilité de recherche intersite. Imperva a affirmé qu’OpenSea avait mal configuré une bibliothèque qui redimensionne les éléments de page Web qui chargent du contenu HTML d’ailleurs qui sont généralement utilisés pour placer des publicités, du contenu interactif ou des vidéos intégrées.
Comme OpenSea ne restreignait pas les communications de cette bibliothèque, les exploiteurs pouvaient utiliser les informations qu’elle diffuse comme un « oracle » pour affiner les recherches sans résultat car la page Web serait plus petite.
Imperva a détaillé qu’un attaquant envoyer un lien à leur cible par e-mail ou SMS qui, s’il est cliqué, “révèle des informations précieuses, telles que l’adresse IP de la cible, l’agent utilisateur, les détails de l’appareil et les versions logicielles”.
L’attaquant utiliserait alors la vulnérabilité d’OpenSea pour extraire les noms NFT de sa cible et associer l’adresse de portefeuille correspondante à des informations d’identification telles qu’un e-mail ou un numéro de téléphone auquel le lien d’origine a été envoyé.
Imperva a déclaré qu’OpenSea “a rapidement résolu le problème” et a correctement restreint les communications de la bibliothèque et a signalé que la plate-forme “n’était plus exposée au risque de telles attaques”.
En rapport: L’équipe de sécurité crée un tableau de bord pour détecter les piratages NFT potentiels dans OpenSea
Les utilisateurs de la plate-forme sont depuis longtemps victimes d’attaques qui imitent les fonctions d’OpenSea pour entreprendre des exploits, tels que des sites Web de phishing qui ressemblent à la plate-forme ou demandes de signature apparaissant provenir d’OpenSea.
OpenSea lui-même a fait l’objet de critiques pour la sécurité de sa plate-forme en raison d’un attaque de phishing majeure en février 2022, ce qui a entraîné le vol de plus de 1,7 million de dollars de NFT aux utilisateurs.
Quant au correctif récent, on ne sait pas depuis combien de temps il existait ou si des utilisateurs avaient été affectés par l’exploit.
OpenSea n’a pas immédiatement répondu à la demande de commentaire de Cointelegraph.