Trong một bài đăng trên blog ngày 9 tháng 3, công ty an ninh mạng Imperva đã tiết lộ về một lỗ hổng bảo mật trên OpenSea mà có thể làm rò rỉ thông tin người dùng của nền tảng này. Lỗ hổng này cho phép hacker tìm ra danh tính của người dùng bằng cách “liên kết địa chỉ IP, phiên trình duyệt hoặc email” với NFT.
Kẻ tấn công sẽ gửi cho mục tiêu của họ một đường link qua email hoặc SMS, nếu nhấp vào đường link này thì các thông tin có giá trị, chẳng hạn như địa chỉ IP của mục tiêu, tác nhân người dùng, chi tiết thiết bị và phiên bản phần mềm của người dùng sẽ bị tiết lộ.
Lỗ hổng tìm kiếm trên các trang web sau đó sẽ bị khai thác để lấy tên NFT của mục tiêu, tiếp đó kẻ tấn công sẽ liên kết địa chỉ ví công khai/NFT bị rò rỉ với email hoặc số điện thoại được gửi link ban đầu. May mắn là OpenSea đã nhanh chóng giải quyết vấn đề và hạn chế thông tin liên lạc của thư viện để chặn đứng nguy cơ này. Dù vậy, không rõ lỗ hổng này đã có từ khi nào và có gây tổn hại đến người dùng nào không.
Người dùng của OpenSea đã là nạn nhân của các cuộc tấn công giả mạo, thường thấy nhất là trang web lừa đảo mạo danh OpenSea hoặc các yêu cầu chữ ký được gửi từ địa chỉ có vẻ như là OpenSea. Bản thân nền tảng này cũng đã phải đối mặt với những lời chỉ trích nặng nề về bảo mật sau một cuộc tấn công lớn vào tháng 2/2022 dẫn đến việc NFT trị giá hơn 1,7 triệu USD của người dùng bị đánh cắp.