L'analyse montre maintenant que certains des Projets NFT pourraient créer leurs propres collections en ciblant les données privées des utilisateurs. Metamask et OpenSea ont enregistré des cas de fuites d'adresses IP liées au transfert de jetons non fongibles (NFT), sur la base des chercheurs de Convex Labs et du protocole OMNIA.
Le responsable de la recherche de l'organisation NFT Convex Labs, Nick Bax, a testé la façon dont NFT des marchés comme OpenSea laissez les attaquants ou les fournisseurs récolter ou voler des adresses IP. Il a proposé une liste pour une image croisée Simpsons et South Park qu'il a intitulée "Je fais juste un clic droit + j'ai enregistré votre adresse IP".
Il a utilisé l'image pour prouver et déterminer que lorsque la liste de jetons non fongibles est consultée, elle charge un code personnalisé, qui enregistre ensuite l'adresse IP du spectateur et la partage avec le fournisseur.
Ce NFT enregistre votre adresse IP :https://t.co/hB34JuJLH9
🧵
– Nick (Bax.eth) (@bax1337) 24 janvier 2022
Bax a admis dans un fil Twitter qu'il "ne considère pas mon NFT de journalisation IP OpenSea comme une vulnérabilité" car c'est simplement "la façon dont cela fonctionne". Il est crucial de noter que les NFT sont à la base, un morceau de code logiciel ou de données numériques qui peut être extrait ou poussé. Il est plus courant que l'image réelle soit stockée sur un serveur distant, alors que seule l'URL de l'actif est en chaîne.
Chaque fois qu'un NFT est transféré vers une adresse blockchain, le portefeuille cryptographique récepteur récupère l'image distante à partir de l'URL qui est principalement associée au NFT. Bax aussi expliqué les détails techniques via un article de Convex Labs Medium selon lequel OpenSea permet aux créateurs de NFT d'ajouter des métadonnées supplémentaires qui permet extensions de fichier pour les pages HTML.
Dans le cas où les métadonnées sont principalement stockées sous forme de fichier JSON sur un réseau de stockage décentralisé comme IPFS ou les serveurs cloud centralisés distants, alors OpenSea peut télécharger cette image comme un enregistreur de pixels "image invisible" et même l'héberger sur son serveur.
Par conséquent, lorsqu'un acheteur potentiel consulte le NFT sur OpenSea, il charge la page HTML et récupère le pixel invisible qui affiche l'adresse IP d'un utilisateur et d'autres données, notamment la version du navigateur, la géolocalisation et le système d'exploitation.
Le co-fondateur du service de noeud de confidentialité OMNIA Protocol, l'analyste Alex Lupascu, a mené ses recherches avec le Application mobile Metamask avec les mêmes effets. Il a noté qu'une responsabilité permet aux fournisseurs d'envoyer un NFT à un portefeuille Metamask et d'obtenir l'adresse IP d'un utilisateur. Il a frappé son NFT sur OpenSea, puis a transféré la propriété du NFT par largage aérien sur son portefeuille Metamask, puis a conclu à la découverte d'une "vulnérabilité critique en matière de confidentialité".
Mon équipe et moi avons découvert une confidentialité critique #vulnérabilité dans les plus populaires #crypto #portefeuille.
Utilisez-vous MetaMask ?
Eh bien, j'ai de mauvaises nouvelles pour vous - votre # Privacy est à risque!@samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G– Alex Lupascu (@alxlpsc) 20 janvier 2022
Dans son article Medium, Lupascu a décrit les conséquences possibles de la manière dont a :
"Un acteur malveillant peut frapper un NFT avec l'image distante hébergée sur son serveur, puis déposer cet objet de collection sur une adresse blockchain (victime) et obtenir son adresse IP."
Il craint que si un attaquant collecte bon nombre de ces NFT, les pointe tous vers une seule URL et les largue sur des millions de portefeuilles, cela puisse entraîner une attaque par déni de service distribué (DDoS) à grande échelle. Les données personnelles divulguées peuvent entraîner des enlèvements, comme l'a mentionné Lupascu.
Il a déclaré qu'une solution possible pourrait nécessiter le consentement total de l'utilisateur en ce qui concerne la récupération de l'image distante du NFT : Metamask et tous les autres portefeuilles devraient indiquer à l'utilisateur qu'une personne sur OpenSea ou tout autre échange veut récupérer l'image distante du NFT et informent l'utilisateur que son adresse IP peut être exposée.
Le PDG de Metamask, Dan Finlay, répondu à Lupascu sur Twitter en disant que bien que "le problème soit connu depuis longtemps", currenActuellement, ils commencent à travailler pour le réparer et améliorer la confidentialité et la sécurité des utilisateurs.
Le même jour, même Vitalik Buterin a vu le défi de la confidentialité hors chaîne au sein de Web3. Lors d'un récent épisode de podcast UpOnly, Buterin a insisté :
« La lutte pour plus d'intimité est importante. Les gens sous-estiment les risques liés à l'absence de confidentialité », ajoutant que plus « tout devient crypto-y », plus nous sommes exposés.
1 commentaire