OpenSea Patches သည် ဖြစ်နိုင်ချေရှိသော ပြင်းထန်သော အားနည်းချက်ဖြစ်သည်။

NFT စျေးကွက်တွင် OpenSea သည် သုံးစွဲသူဒေတာပေါက်ကြားစေရန် အသုံးချနိုင်သည့် ၎င်းတို့၏ကုဒ်တွင် အားနည်းချက်တစ်ခုကို မကြာသေးမီက ဖြေရှင်းခဲ့သည်။ 

Imperva သည် OpenSea Vulnerability ကို ရှာဖွေတွေ့ရှိသည်။

မတ်လ ၉ ရက်နေ့တွင် ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီ Imperva က အဆိုပါ အားနည်းချက်ကို ထောက်ပြခဲ့သည်။ ပွင့်လင်း ပလက်ဖောင်း။ ကုမ္ပဏီသည် ၎င်း၏တွေ့ရှိချက်များကို အသေးစိတ်ဖော်ပြသည့် ဘလော့ဂ်ပို့စ်တစ်ခုကို ထုတ်ဝေခဲ့ပြီး အားနည်းချက်သည် သုံးစွဲသူဒေတာအတွက် ပြင်းထန်သော လုံခြုံရေးခြိမ်းခြောက်မှုဖြစ်စေသည်ဟု အခိုင်အမာဆိုခဲ့သည်။ အကြံအဖန်ပြုသူများသည် ၎င်းတို့၏ ဖုန်းနံပါတ်များနှင့် အီးမေးလ် ID များကဲ့သို့ သုံးစွဲသူများ၏ ကိုယ်ရေးကိုယ်တာ အချက်အလက်များကို ဖော်ထုတ်ရန် bug ကို အသုံးချနိုင်သည်။ 

အဖွဲ့သည်တွစ်တာ၊ 

"Imperva Red Team သည် NFT စျေးကွက် OpenSea ကိုထိခိုက်စေသည့်ဆိုက်ဖြတ်ကျော်ရှာဖွေမှုအားနည်းချက်ကိုရှာဖွေတွေ့ရှိခဲ့သည်။"

ဤအားနည်းချက်သည် သုံးစွဲသူများ၏ အမည်ဝှက်ကို ထုတ်ဖော်နိုင်စေပြီး သုံးစွဲသူ၏ အထောက်အထားကို ဖော်ထုတ်နိုင်စေပါသည်။

အစီရင်ခံစာအရ၊ အမည်မသိ OpenSea အသုံးပြုသူများသည် ဤ bug ကို အသုံးချပြီး IP လိပ်စာ၊ ဘရောက်ဆာ စက်ရှင်တစ်ခု သို့မဟုတ် NFT သို့ အီးမေးလ်ကိုပင် ချိတ်ဆက်ခြင်းဖြင့် ထုတ်ဖော်ပြသနိုင်မည်ဖြစ်သည်။ ရလဒ်အနေဖြင့်၊ အမည်မသိဝယ်သူများသည် သတ်မှတ်ထားသောလိပ်စာမှစုဆောင်းထားသောအချက်အလက်များနှင့်ဆက်စပ်၍သက်ဆိုင်ရာ crypto ပိုက်ဆံအိတ်လိပ်စာကိုထုတ်ဖော်ပါကအမည်မသိဝယ်ယူသူများသည်သူတို့၏အထောက်အထားကိုဖော်ထုတ်ရန်အန္တရာယ်ရှိနိုင်သည်။ 

အရင်းခံအကြောင်းရင်း – စာကြည့်တိုက်ဖွဲ့စည်းပုံ မှားယွင်းခြင်း။

အစီရင်ခံစာသည် အဆိုပါကိစ္စ၏ မူလဇစ်မြစ်ကို ခွဲခြမ်းစိတ်ဖြာပြီး ၎င်းမှအသုံးပြုသော iFrame-resizer စာကြည့်တိုက်၏ မှားယွင်းသောဖွဲ့စည်းပုံများကို ခွဲခြားသတ်မှတ်သည်။ NFT ပလက်ဖောင်းဆိုက်ကို ဖြတ်၍ ရှာဖွေမှု အားနည်းချက်ကို ဖြစ်စေသော၊ ဆိုလိုသည်မှာ ပလက်ဖောင်းသည် အခြားနေရာမှ HTML အကြောင်းအရာများကို တင်နေသည့် ဝဘ်စာမျက်နှာဒြပ်စင်များကို အရွယ်အစားပြောင်းသည့် စာကြည့်တိုက်ကို မှားယွင်းသတ်မှတ်ထားခြင်းကို ဆိုလိုသည်။ 

ကြော်ငြာများ၊ အပြန်အလှန်အကျိုးပြုသော အကြောင်းအရာများ သို့မဟုတ် မြှုပ်သွင်းထားသော ဗီဒီယိုများကို နေရာချရန် ဤအင်္ဂါရပ်ကို အသုံးပြုပါသည်။ OpenSea ပလပ်ဖောင်းသည် ဤစာကြည့်တိုက်၏ ဆက်သွယ်မှုများကို ကန့်သတ်မထားသောကြောင့်၊ ဟက်ကာများနှင့် အခြားသော အန္တရာယ်ရှိသော သရုပ်ဆောင်များသည် ထုတ်လွှင့်ထားသော အချက်အလက်များကို ကြိုးကိုင်ခြယ်လှယ်ပြီး ပစ်မှတ်များကို ဖော်ထုတ်ရန် "oracle" အဖြစ် အသုံးပြုရန် လွယ်ကူပါလိမ့်မည်။ 

ထို့နောက် ၎င်းတို့သည် ပစ်မှတ်အား အီးမေးလ် သို့မဟုတ် SMS မှတဆင့် လင့်ခ်တစ်ခု ပေးပို့နိုင်သည်။ ပစ်မှတ်က လင့်ခ်ကို နှိပ်ပါက၊ ၎င်းတို့၏ IP လိပ်စာ၊ အသုံးပြုသူ အေးဂျင့်၊ စက်ပစ္စည်းအသေးစိတ်နှင့် ဆော့ဖ်ဝဲလ်ဗားရှင်းများအပါအဝင် ၎င်းတို့၏ ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို ထုတ်ဖော်ပြသမည်ဖြစ်သည်။ အီးမေးလ်လိပ်စာနှင့် ဖုန်းနံပါတ်သည် တိုက်ခိုက်သူအား ပစ်မှတ်နှင့် ချိတ်ဆက်ထားသည့် NFTs များ၏ အမည်များနှင့် ၎င်းတို့၏ သက်ဆိုင်ရာ ပိုက်ဆံအိတ်လိပ်စာတို့ကို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးရန် ခွဲခြားသတ်မှတ်ထားသော စျေးကွက်များအဖြစ် လုပ်ဆောင်နိုင်ခဲ့သည်။ 

OpenSea ၏ လုံခြုံရေးစိုးရိမ်မှုများ

OpenSea အဖွဲ့သည် အားနည်းချက်ကို ပြင်ဆင်ရန် patch တစ်ခုကို အမြန်ထုတ်ပြီး ပြဿနာကို ဖြေရှင်းခဲ့သည်ဟု သတင်းရရှိပါသည်။ Imperva အဖွဲ့သည် ဤ patch သည် မူရင်းနိုင်ငံဖြတ်ကျော် ဆက်သွယ်မှုကို ကန့်သတ်ထားပြီး အနာဂတ်တွင် အမြတ်ထုတ်ခြင်းကို တားဆီးနိုင်သောကြောင့် ခြိမ်းခြောက်မှုကို အောင်မြင်စွာ ဖြေရှင်းနိုင်မည်ဖြစ်ကြောင်း အတည်ပြုခဲ့သည်။ 

သို့သော်လည်း ၎င်းသည် OpenSea ၏ ပထမဆုံးသော လုံခြုံရေးခြိမ်းခြောက်မှုမဟုတ်ပေ။ 2021 ခုနှစ် စက်တင်ဘာလတွင်၊ ပလပ်ဖောင်းတွင် ရလဒ်ထွက်ပေါ်ခဲ့သော bug တစ်ခုကို ကြုံတွေ့ခဲ့ရသည်။ NFTs များကို ဖျက်ခြင်း။ 28.44 ETH သို့မဟုတ် $100,000 တန်ကြေး။ တစ်နှစ်အကြာတွင်၊ ဖေဖော်ဝါရီ 2022 တွင် OpenSea သည် အများအပြားခိုးယူခဲ့သောဟက်ကာတစ်ဦးမှ ပစ်မှတ်ထားခံခဲ့ရသည်။ တန်ဖိုးမြင့် NFTs ပလပ်ဖောင်း၏အသုံးပြုသူများထံမှ။ 

မသက်ဆိုင်ကြောင်းရှင်းလင်းချက်: ဤဆောင်းပါးကိုသတင်းအချက်အလက်ရည်ရွယ်ချက်များအတွက်သာထောက်ပံ့ပေးလျက်ရှိသည်။ ၎င်းကိုတရားဝင်၊ အခွန်၊ ရင်းနှီးမြှုပ်နှံမှု၊ ဘဏ္financialာရေးသို့မဟုတ်အခြားအကြံဥာဏ်အဖြစ်အသုံးပြုရန်ရည်ရွယ်ခြင်းမဟုတ်ပါ။