Dywedir bod marchnad tocyn anffungible (NFT) OpenSea wedi clytio bregusrwydd a allai, o'i ecsbloetio, ddatgelu gwybodaeth adnabod am ei ddefnyddwyr dienw.
Mewn Mawrth 9 blog, manylodd cwmni cybersecurity Imperva sut y mae darganfod y bregusrwydd a honnodd a allai ddeonoli defnyddwyr OpenSea “trwy gysylltu cyfeiriad IP, sesiwn porwr, neu e-bost o dan amodau penodol” i NFT.
Gan fod yr NFT yn cyfateb i gyfeiriad waled cryptocurrency, gellid datgelu hunaniaeth wirioneddol defnyddiwr o'r wybodaeth a gasglwyd a'i gysylltu â'r waled a'i weithgaredd, eglurodd Imperva.
Darganfu Tîm Coch Imperva wendid chwilio traws-safle sy'n effeithio ar y #NFT farchnad #MôrAgored.
Mae'r bregusrwydd hwn yn caniatáu dadenwi defnyddwyr, gan ddatgelu hunaniaeth defnyddiwr o bosibl. https://t.co/nGQWceeGEc
— Imperva (@Imperva) Mawrth 9, 2023
Deellir bod y camfanteisio wedi manteisio ar fregusrwydd chwilio traws-safle. Honnodd Imperva fod OpenSea wedi camgyflunio llyfrgell sy'n newid maint elfennau tudalen we sy'n llwytho cynnwys HTML o fannau eraill a ddefnyddir yn nodweddiadol i osod hysbysebion, cynnwys rhyngweithiol, neu fideos wedi'u mewnosod.
Gan na chyfyngodd OpenSea ar gyfathrebiadau'r llyfrgell hon, gallai ecsbloetwyr ddefnyddio'r wybodaeth y mae'n ei darlledu fel “oracl” i gulhau pan na fydd chwiliadau yn dychwelyd gan y byddai'r dudalen we yn llai.
Manylodd Imperva y byddai ymosodwr anfon dolen at eu targed trwy e-bost neu SMS sydd, o'i glicio "yn datgelu gwybodaeth werthfawr, megis cyfeiriad IP y targed, asiant defnyddiwr, manylion dyfais, a fersiynau meddalwedd."
Yna byddai'r ymosodwr yn defnyddio bregusrwydd OpenSea i dynnu enwau NFT eu targed a chysylltu'r cyfeiriad waled cyfatebol â gwybodaeth adnabod megis e-bost neu rif ffôn a anfonwyd y ddolen wreiddiol.
Dywedodd Imperva fod OpenSea “wedi mynd i’r afael â’r mater yn gyflym” ac wedi cyfyngu’n iawn ar gyfathrebiadau’r llyfrgell a dywedodd nad oedd y platfform “mewn perygl o ymosodiadau o’r fath mwyach.”
Cysylltiedig: Tîm diogelwch yn creu dangosfwrdd i ganfod haciau NFT posibl yn OpenSea
Mae defnyddwyr y platfform wedi bod yn ddioddefwyr ers tro o ymosodiadau sy'n dynwared swyddogaethau OpenSea i gyflawni campau, fel gwefannau gwe-rwydo sy'n debyg i'r platfform neu ceisiadau llofnod yn ymddangos i darddu o OpenSea.
OpenSea ei hun wedi wynebu beirniadaeth am ei ddiogelwch platfform oherwydd a ymosodiad gwe-rwydo mawr ym mis Chwefror 2022 a arweiniodd at dros $1.7 miliwn o NFTs yn cael eu dwyn oddi wrth ddefnyddwyr.
O ran y darn diweddar, nid yw'n hysbys pa mor hir y bu'n bodoli neu a oedd unrhyw ddefnyddwyr wedi cael eu heffeithio gan y camfanteisio.
Ni wnaeth OpenSea ymateb ar unwaith i gais Cointelegraph am sylw.
Ffynhonnell: https://cointelegraph.com/news/opensea-patches-vulnerability-that-potentially-exposed-users-identities