Analyse toont nu aan dat sommige van de NFT-projecten mogelijk eigen collecties maken door zich te richten op de privégegevens van gebruikers. Metamask en OpenSea hebben gevallen geregistreerd van IP-adreslekken die verband houden met de overdracht van niet-vervangbare tokens (NFT's), op basis van de onderzoekers van Convex Labs en het OMNIA-protocol.
Het hoofd van onderzoek bij NFT-organisatie Convex Labs, Nick Bax, testte de manier waarop NFT marktplaatsen zoals OpenSea laat aanvallers of leveranciers IP-adressen oogsten of stelen. Hij kwam met een aanbieding voor een Simpsons en South Park crossover-afbeelding met de titel "I just right click + save your IP address".
Hij gebruikte de afbeelding om te bewijzen en te bepalen dat wanneer de niet-fungible token-lijst wordt bekeken, deze aangepaste code laadt, die vervolgens het IP-adres van de kijker registreert en deelt met de verkoper.
Deze NFT logt uw IP-adres:https://t.co/hB34JuJLH9
🧵
— Nick (Bax.eth) (@bax1337) 24 januari 2022
Bax gaf in een Twitter-thread toe dat hij "mijn OpenSea IP-logging NFT niet als een kwetsbaarheid beschouwt", omdat dat gewoon "de manier is waarop het werkt". Het is van cruciaal belang op te merken dat NFT's in de kern een stuk softwarecode of digitale gegevens zijn die kunnen worden getrokken of gepusht. Het komt het meest voor dat de echte afbeelding wordt opgeslagen op een externe server, terwijl alleen de URL van het item in de keten staat.
Telkens wanneer een NFT wordt overgedragen naar een blockchain-adres, haalt de ontvangende crypto-portemonnee de externe afbeelding op van de URL die voornamelijk is gekoppeld aan de NFT. Bax ook uitgelegd de technische details via een Convex Labs Medium-bericht dat OpenSea NFT-makers in staat stelt om extra metadata toe te voegen die maakt bestandsextensies voor HTML-pagina's.
In het geval dat de metadata voornamelijk worden opgeslagen als een JSON-bestand op een gedecentraliseerd opslagnetwerk zoals IPFS of de externe gecentraliseerde cloudservers, dan kan OpenSea deze afbeelding downloaden net als een "onzichtbare afbeelding" pixellogger en zelfs hosten op zijn server.
Wanneer een mogelijke koper de NFT op OpenSea bekijkt, laadt hij daarom de HTML-pagina en haalt de onzichtbare pixel op die het IP-adres van een gebruiker en andere gegevens toont, waaronder browserversie, geolocatie en besturingssysteem.
De mede-oprichter van de privacynode-service OMNIA Protocol, analist Alex Lupascu, voerde zijn onderzoek uit met de Metamask mobiele app met dezelfde effecten. Hij merkte op dat een verplichting die leveranciers in staat stelt een NFT naar een Metamask-portemonnee te sturen en het IP-adres van een gebruiker te krijgen. Hij sloeg zijn NFT op OpenSea en droeg vervolgens het eigendom van de NFT over via airdrop naar zijn Metamask-portemonnee, en concludeerde toen dat hij een 'kritieke privacykwetsbaarheid' vond.
Mijn team en ik hebben een kritieke privacy ontdekt #kwetsbaarheid in de meest populaire #crypto #portemonnee.
Gebruik je MetaMask?
Nou, ik heb slecht nieuws voor je – jouw #privacy in gevaar!@samczsun @gakonst @VitalikButerin @cz_binance @fildaian https://t.co/ar30UMzR1G— Alex Lupascu (@alxlpsc) 20 januari 2022
In zijn Medium-post beschreef Lupascu de mogelijke gevolgen van de manier waarop a:
"Kwaadwillende actoren kunnen een NFT maken met de externe afbeelding die op zijn server wordt gehost, dit verzamelobject vervolgens naar een blockchain-adres (slachtoffer) laten vallen en zijn IP-adres verkrijgen."
Hij maakt zich zorgen dat als een aanvaller veel van deze NFT's verzamelt, ze allemaal naar één URL verwijst en ze doorstuurt naar miljoenen wallets, dit kan resulteren in een massale gedistribueerde denial-of-service (DDoS)-aanval. De gelekte persoonsgegevens kunnen leiden tot ontvoeringen, zoals Lupascu aangaf.
Hij zei dat een mogelijke oplossing de volledige toestemming van de gebruiker zou kunnen zijn als het gaat om het ophalen van de externe afbeelding van de NFT: Metamask en alle andere portefeuilles zouden de gebruiker moeten vragen dat een persoon op OpenSea of een andere uitwisseling wil ophalen de externe afbeelding van de NFT, en informeer de gebruiker dat zijn IP-adres mogelijk wordt weergegeven.
De CEO van Metamask, Dan Finlay, gereageerd tegen Lupascu op Twitter en zei dat hoewel "het probleem al lang bekend is", currenNu beginnen ze eraan te werken het probleem op te lossen en de privacy en veiligheid van gebruikers te verbeteren.
Op dezelfde dag zelfs Vitalik Buterin zag de uitdaging van off-chain privacy binnen Web3. Tijdens een recente UpOnly-podcastaflevering drong Buterin erop aan:
“De strijd voor meer privacy is een belangrijke. Mensen onderschatten de risico's van geen privacy", eraan toevoegend dat hoe "crypto-y alles wordt", hoe meer we worden blootgesteld.
1 reactie