L'analisi ora mostra che alcuni dei Progetti NFT potrebbe creare raccolte proprie prendendo di mira i dati privati degli utenti. Metamask e OpenSea hanno registrato casi di perdite di indirizzi IP legate al trasferimento di token non fungibili (NFT), sulla base dei ricercatori di Convex Labs e del protocollo OMNIA.
Il capo della ricerca presso l'organizzazione NFT Convex Labs, Nick Bax, ha testato il modo in cui NFT mercati come OpenSea consentire ad aggressori o fornitori di raccogliere o rubare indirizzi IP. Ha inventato un elenco per un'immagine crossover dei Simpsons e South Park che ha intitolato "Ho appena fatto clic con il pulsante destro del mouse + salvato il tuo indirizzo IP".
Ha usato l'immagine per dimostrare e determinare che quando l'elenco dei token non fungibili viene visualizzato, carica il codice personalizzato, che quindi registra l'indirizzo IP del visualizzatore e lo condivide con il fornitore.
Questo NFT registra il tuo indirizzo IP:https://t.co/hB34JuJLH9
🧵
— Nick (Bax.eth) (@bax1337) Gennaio 24, 2022
Bax ha ammesso in un thread di Twitter che "non considera la mia NFT di registrazione IP OpenSea una vulnerabilità" poiché è semplicemente "il modo in cui funziona". È fondamentale notare che gli NFT sono al centro, un pezzo di codice software o dati digitali che possono essere estratti o inviati. È più comune che l'immagine reale venga archiviata in un server remoto, mentre solo l'URL della risorsa è sulla catena.
Ogni volta che un NFT viene trasferito a un indirizzo blockchain, il portafoglio crittografico ricevente recupera l'immagine remota dall'URL che è principalmente associato all'NFT. Bax anche ha spiegato i dettagli tecnici attraverso un post di Convex Labs Medium che OpenSea consente ai creatori di NFT di aggiungere ulteriori metadati Abilita estensioni di file per le pagine HTML.
Nel caso in cui i metadati siano archiviati principalmente come file JSON su una rete di archiviazione decentralizzata come IPFS o i server cloud centralizzati remoti, OpenSea può scaricare questa immagine proprio come un pixel logger di "immagine invisibile" e persino ospitarla sul suo server.
Pertanto, quando un possibile acquirente visualizza l'NFT su OpenSea, carica la pagina HTML e recupera il pixel invisibile che mostra l'indirizzo IP di un utente e altri dati inclusi versione del browser, geolocalizzazione e sistema operativo.
Il co-fondatore del servizio di nodo privacy OMNIA Protocol, l'analista Alex Lupascu, ha condotto la sua ricerca con il App mobile Metamaschera con gli stessi effetti. Ha notato che una responsabilità che consente ai fornitori di inviare un NFT a un portafoglio Metamask e ottenere l'indirizzo IP di un utente. Ha coniato la sua NFT su OpenSea e poi ha trasferito la proprietà della NFT tramite airdrop al suo portafoglio Metamask, quindi ha concluso trovando una "vulnerabilità critica della privacy".
Io e il mio team abbiamo scoperto una privacy critica #vulnerabilità nel più popolare #crypto #portafoglio.
Stai usando MetaMask?
Bene, ho una brutta notizia per te: la tua # Privacy è a rischio!@samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G— Alex Lupascu (@alxlpsc) Gennaio 20, 2022
Nel suo post Medio, Lupascu ha descritto le possibili conseguenze del modo a:
"L'attore maligno può coniare un NFT con l'immagine remota ospitata sul suo server, quindi trasmettere questo oggetto da collezione a un indirizzo blockchain (vittima) e ottenere il suo indirizzo IP".
È preoccupato che se un utente malintenzionato raccoglie molti di questi NFT, li indirizza tutti a un URL e li invia a milioni di portafogli, potrebbe provocare un attacco DDoS (Distributed Denial-of-Service) su vasta scala. I dati personali trapelati possono provocare rapimenti, come menzionato da Lupascu.
Ha affermato che una possibile soluzione potrebbe richiedere il consenso totale dell'utente quando si tratta di recuperare l'immagine remota dell'NFT: Metamask e tutti gli altri portafogli dovrebbero richiedere all'utente che una persona su OpenSea o qualsiasi altro scambio vuole recuperare l'immagine remota dell'NFT e informa l'utente che il suo indirizzo IP potrebbe essere esposto.
Il CEO di Metamask, Dan Finlay, risposto a Lupascu su Twitter dicendo che sebbene "il problema fosse noto da molto tempo", currenStanno iniziando a lavorare per risolverlo e migliorare la privacy e la sicurezza degli utenti.
Lo stesso giorno, anche Vitalik Buterin ha visto la sfida della privacy off-chain all'interno di Web3. Durante un recente episodio del podcast UpOnly, Buterin ha insistito:
“La lotta per una maggiore privacy è importante. Le persone stanno sottovalutando i rischi della mancanza di privacy", aggiungendo che "più tutto diventa criptato", più siamo esposti.
1 commento