IT-эксперты раскрыли XSS-уязвимости OpenSea

Маркетплейс невзаимозаменяемых токенов (NFT) OpenSea подвергался XSS-скриптингу (Cross-Site Scripting), раскрывая конфиденциальные данные пользователей сервиса. Об этом у себя в блоге сообщили эксперты IT-студии Imperva.

По словам специалистов, уязвимость позволяла мошенникам узнавать IP-адреса жертв, привязав вредоносный код к NFT. Более того, злоумышленники могли заполучить такую информацию как email-жертвы, сессию браузера и адрес криптокошелька.

Выяснилось, что злоумышленники нашли лазейку в неправильной конфигурации веб-библиотеки iFrame-resizer, используемой OpenSea. С помощью уязвимости киберзлоумышленники создавали url-ловушки, переходя по которым жертва раскрывала свои данные. В Imperva заявили, что в OpenSea уже залатали дыру. Однако остается неясно, как много данных злоумышленники смогли перехватить таким способом (и перехватили ли вообще).

Маркетплейс и ранее страдал от различных дыр в системе безопасности. В октябре 2021 года площадка отчиталась о закрытии уязвимости, которая позволяла красть криптовалюту с помощью «зараженных» NFT. Заражение кошельков жертв происходило в случае взаимодействия с NFT-токеном в виде расширения .SVG. Например, если пользователь открывал изображение токена в новой вкладке.

До этого пользователи OpenSea лишились десятков NFT на сумму от $100 000 из-за еще одной уязвимости в коде площадки. Техническая брешь проявлялась при попытке перевода доменного имени .eth в формате NFT с серверов Ethereum Name Service на аккаунт OpenSea. По итогам перевода NFT отправлялся не на аккаунт пользователя, а на адрес 0x0000…0000edd899b, где бесповоротно «сжигался» сетью.

В январе 2022 года OpenSea стал жертвой хакерской атаки. По итогам операции хакеру удалось похитить с платформы 332 ETH (~$700 000 на тот момент). Впрочем, как именно злоумышленнику удалось осуществить атаку, до сих пор неясно. Как полагают аналитики PeckShield, схему, вероятно, провернули благодаря уязвимости в интерфейсе торговой площадки.