Ces dernières années, plusieurs piratages et vulnérabilités très médiatisés ont affecté des plateformes Web3 populaires, soulignant la nécessité pour les développeurs de donner la priorité à la sécurité et à la protection de la vie privée. Le monde du Web3 et des applications décentralisées (dApps) se développe rapidement, apportant avec lui une foule de nouvelles possibilités et de nouveaux défis. La popularité croissante des Apps s’accompagne d’un risque accru de failles de sécurité et de vulnérabilités. Du tristement célèbre piratage de la DAO sur la blockchain Ethereum aux piratages plus récents ciblant les ponts inter-chaînes, il est clair que la sécurité des applications Web3 doit être une priorité absolue.
Imperva, sur son blog, a montré une vulnérabilité sur OpenSea qui depuis a été corrigée ainsi que l’importance des restrictions de communication cross-originales appropriées pour protéger l’anonymat des utilisateurs. Les dangers potentiels des attaques de recherche intersites et la nécessité pour les développeurs Web3 de rester vigilants afin d’assurer la sécurité de leurs plateformes. Cette vulnérabilité met en évidence les dangers de la communication inter-origine, qui peut conduire à XS-Leaks et à d’autres vulnérabilités.
Lorsqu’elle est exploitée avec succès, cette vulnérabilité permet de désanonymiser les utilisateurs d’OpenSea en liant une adresse IP, une session de navigation ou un courriel dans certaines conditions à un jeton non fongible (NFT) spécifique et, par conséquent, à une adresse de portefeuille, révélant ainsi potentiellement l’identité d’un utilisateur. La cause première de cette vulnérabilité est la mauvaise configuration de la bibliothèque iFrame-resizer utilisée par OpenSea. Cette mauvaise configuration a permis à la vulnérabilité de recherche intersites d’exister, conduisant à l’exposition potentielle des identités des utilisateurs.
La recherche intersites (XS-Search) est une vulnérabilité dans les applications web qui utilisent des systèmes de recherche basés sur des requêtes. Elle permet à un attaquant d’extraire des informations sensibles d’une origine différente en envoyant des requêtes et en observant les différences de comportement du système de recherche lorsqu’il renvoie ou non des résultats. L’attaquant recueille progressivement des informations en envoyant plusieurs requêtes et en utilisant les différences de comportement du système pour extraire de plus en plus d’informations. La famille d’attaques XS-Leaks s’est construite sur les principes de XS-Search, en utilisant une méthode sous-jacente similaire pour extraire de manière générique des informations sensibles d’une application web.
Lorsque la bibliothèque iFrame-resizer est utilisée lors de la communication inter-origine peut entraîner une vulnérabilité de recherche inter-site. En effet, la bibliothèque diffuse la largeur et la hauteur de l’iFrame, ce qui peut être utilisé comme un oracle pour détecter les résultats d’une requête de recherche. Un attaquant peut exploiter cette vulnérabilité en recherchant continuellement les actifs de la victime, en effectuant une recherche croisée, afin de divulguer le nom d’un NFT et l’adresse du portefeuille qui lui est associée. Cela peut conduire à la désanonymisassions de l’utilisateur si l’attaquant peut associer les informations divulguées à l’identité de l’utilisateur. Outre le risque de vulnérabilités liées aux recherches intersites, la bibliothèque iFrame-resizer peut également être exploitée pour divulguer des informations sensibles d’autres manières.