يظهر التحليل الآن أن بعض مشاريع NFT قد تنشئ مجموعات خاصة بهم من خلال استهداف بيانات المستخدمين الخاصة. قامت Metamask و OpenSea بتسجيل حالات تسريب عناوين IP مرتبطة بنقل الرموز غير القابلة للفطريات (NFTs) ، بناءً على الباحثين في Convex Labs و OMNIA Protocol.
اختبر رئيس الأبحاث في مؤسسة Convex Labs التابعة لـ NFT ، Nick Bax ، طريقة NFT أسواق مثل OpenSea السماح للمهاجمين أو البائعين بحصد عناوين IP أو سرقتها. لقد توصل إلى قائمة لصورة كروس Simpsons و South Park بعنوان "أنا فقط انقر بزر الماوس الأيمن + حفظ عنوان IP الخاص بك".
لقد استخدم الصورة لإثبات وتحديد أنه عند عرض قائمة الرموز غير القابلة للتلف ، فإنه يقوم بتحميل رمز مخصص ، والذي يقوم بعد ذلك بتسجيل عنوان IP الخاص بالمشاهد ومشاركته مع البائع.
يسجل NFT عنوان IP الخاص بك:https://t.co/hB34JuJLH9
🧵
- نيك (Bax.eth) (@ bax1337) ٣ فبراير ٢٠٢٤
اعترف Bax في موضوع على Twitter أنه "لا يعتبر NFT لتسجيل IP الخاص بي في OpenSea ثغرة أمنية" لأن هذه هي ببساطة "الطريقة التي يعمل بها". من الأهمية بمكان ملاحظة أن NFTs هي في جوهرها ، وهي جزء من رمز البرنامج أو البيانات الرقمية التي يمكن سحبها أو دفعها. من الشائع تخزين الصورة الحقيقية في خادم بعيد ، بينما يكون عنوان URL للأصل فقط على السلسلة.
عندما يتم نقل NFT إلى عنوان blockchain ، تقوم محفظة التشفير المستقبلة بجلب الصورة البعيدة من عنوان URL المرتبط بشكل أساسي بـ NFT. باكس أيضا شرح التفاصيل الفنية من خلال منشور Convex Labs Medium الذي يتيح OpenSea لمنشئي NFT إضافة بيانات وصفية إضافية تمكن امتدادات الملفات لصفحات HTML.
في حالة تخزين البيانات الوصفية بشكل أساسي كملف JSON على شبكة تخزين لامركزية مثل IPFS أو الخوادم السحابية المركزية البعيدة ، فيمكن لـ OpenSea تنزيل هذه الصورة تمامًا مثل مسجل البكسل "غير المرئي" وحتى استضافتها على الخادم الخاص بها.
لذلك ، عندما يعرض مشترٍ محتمل NFT على OpenSea ، فإنه يقوم بتحميل صفحة HTML وجلب البكسل غير المرئي الذي يعرض عنوان IP للمستخدم والبيانات الأخرى بما في ذلك إصدار المتصفح والموقع الجغرافي ونظام التشغيل.
أجرى المؤسس المشارك لخدمة عقدة الخصوصية OMNIA Protocol ، المحلل Alex Lupascu ، بحثه مع التطبيق المحمول Metamask بنفس التأثيرات. وأشار إلى أن هناك مسؤولية تمكن البائعين من إرسال NFT إلى محفظة Metamask والحصول على عنوان IP الخاص بالمستخدم. قام بسك NFT الخاص به على OpenSea ثم نقل ملكية NFT من خلال الإنزال الجوي إلى محفظة Metamask الخاصة به ، ثم انتهى من العثور على "ثغرة أمنية خطيرة في الخصوصية".
اكتشفنا أنا وفريقي خصوصية مهمة #القابلية للتأثر في الأكثر شهرة #crypto #محفظة نقود.
هل تستخدم MetaMask؟
حسنًا ، لدي أخبار سيئة لك - لديك # الخصوصية في خطر!تضمين التغريدة تضمين التغريدة VitalikButerin cz_binance phildaian https://t.co/ar30UMzR1G- أليكس لوباسكو (alxlpsc) ٣ فبراير ٢٠٢٤
وصف لوباسكو في منشوره على الوسيط العواقب المحتملة للطريقة:
"يمكن للممثل الخبيث أن يصنع NFT بالصورة البعيدة المستضافة على الخادم الخاص به ، ثم ينزل هذه المجموعة القابلة للتحصيل إلى عنوان blockchain (الضحية) ويحصل على عنوان IP الخاص به."
إنه قلق من أنه إذا جمع المهاجم العديد من عناصر NFT هذه ، ووجههم جميعًا إلى عنوان URL واحد ، وقام بإنزالهم جواً إلى ملايين المحافظ ، فقد يؤدي ذلك إلى هجوم رفض الخدمة الموزع على نطاق واسع (DDoS). قد تؤدي البيانات الشخصية المسربة إلى عمليات اختطاف كما ذكر لوباسكو.
قال إن الحل المحتمل قد يحتاج إلى موافقة كاملة من المستخدم عندما يتعلق الأمر بمسائل جلب الصورة البعيدة لـ NFT: يجب على Metamask وجميع المحافظ الأخرى مطالبة المستخدم بأن شخصًا على OpenSea أو أي بورصة أخرى يريد جلبها الصورة البعيدة لـ NFT ، وأبلغ المستخدم أن عنوان IP الخاص به قد يكون مكشوفًا.
الرئيس التنفيذي لشركة Metamask ، دان فينلي ، استجاب إلى Lupascu على Twitter قائلاً إنه على الرغم من أن "المشكلة معروفة منذ فترة طويلة" ،rently بدأوا في العمل على إصلاحه وتعزيز خصوصية المستخدم وسلامته.
في نفس اليوم ، حتى فيتاليك بوتيرين رأى التحدي المتمثل في الخصوصية خارج السلسلة داخل Web3. خلال حلقة بودكاست حديثة من UpOnly ، أصر بوتيرين:
"الكفاح من أجل المزيد من الخصوصية أمر مهم. يقلل الناس من مخاطر عدم الخصوصية "، مضيفًا أنه" كلما أصبح كل شيء مشفرًا أكثر ، "زاد تعرضنا للخطر.
تعليق