La marketplace de tokens non fongibles OpenSea aurait corrigé une faille qui, si elle avait été exploitée, aurait pu exposer des informations d'identification sur ses utilisateurs anonymes. 

Dans un article de blog daté du 9 mars, la société de cybersécurité Imperva a expliqué en détail comment elle avait découvert cette faille qui, selon elle, pouvait désanonymiser les utilisateurs d'OpenSea « en liant une adresse IP, une session de navigation ou un courriel dans certaines conditions » à un NFT.

Comme le NFT correspond à l'adresse d'un portefeuille de cryptomonnaies, l'identité réelle d'un utilisateur pourrait être révélée à partir des informations recueillies et liées au portefeuille et à son activité, a expliqué Imperva.

Imperva Red Team a découvert une vulnérabilité de recherche cross-site affectant la marketplace #NFT #OpenSea. Cette vulnérabilité permet la désanonymisation des utilisateurs, révélant potentiellement l'identité d'un utilisateur. https://t.co/nGQWceeGEc - Imperva (@Imperva) 9 mars 2023

Le piratage est censé tirer partie d'une vulnérabilité de recherche intersites. Selon Imperva, OpenSea a mal configuré une bibliothèque qui redimensionne les éléments des pages web qui chargent du contenu HTML provenant d'ailleurs et qui sont généralement utilisés pour placer des publicités, du contenu interactif ou des vidéos intégrées.

OpenSea n'ayant pas restreint les communications de cette bibliothèque, les pirates ont pu utiliser les informations qu'elle diffuse comme un « oracle » pour restreindre les recherches qui n'aboutissent à aucun résultat puisque la page web est plus petite.

Imperva a expliqué qu'un pirate envoyait à sa cible un lien par courrier électronique ou SMS, qui, s'il était ouvert, « révélait des informations précieuses, telles que l'adresse IP de la cible, l'agent utilisateur, les détails de l'appareil et les versions des logiciels ».

Capture d'écran de la page d'accueil d'OpenSea. Source : OpenSea

Le pirate utilise ensuite la faille d'OpenSea pour extraire les noms des NFT de sa cible et associer l'adresse du portefeuille correspondant à des informations d'identification, telles que l'adresse électronique ou le numéro de téléphone de la personne à qui le lien original a été envoyé.

Imperva a déclaré qu'OpenSea « a rapidement résolu le problème » et a correctement restreint les communications de la bibliothèque, signalant que la plateforme « n'était plus exposée à de telles attaques ».

À lire également : Une équipe de sécurité crée un tableau de bord pour détecter les éventuels piratages de NFT sur OpenSea

Les utilisateurs de la plateforme sont depuis longtemps victimes d'attaques qui imitent les fonctions d'OpenSea pour réaliser des piratages, tels que des sites web de phishing qui ressemblent à la plateforme ou des demandes de signature semblant provenir d'OpenSea.

OpenSea elle-même a été critiqué pour la sécurité de sa plateforme à la suite d'une importante attaque de phishing en février 2022, qui a entraîné le vol de NFT d'une valeur de plus de 1,7 million $ à des utilisateurs.

En ce qui concerne le récent correctif, il est difficile de savoir depuis combien de temps il existe et si des utilisateurs ont été touchés par la faille.

OpenSea n'a pas répondu immédiatement à la demande de commentaire de Cointelegraph.