A análise mostra agora que alguns dos Projetos NFT podem estar criando suas próprias coleções ao segmentar os dados privados dos usuários. Metamask e OpenSea registraram casos de vazamentos de endereços IP vinculados à transferência de tokens não fungíveis (NFTs), com base nos pesquisadores do Convex Labs e no protocolo OMNIA.
O chefe de pesquisa da organização NFT Convex Labs, Nick Bax, testou a maneira como o NFT mercados como o OpenSea permitir que invasores ou fornecedores coletem ou roubem endereços IP. Ele veio com uma lista de uma imagem de crossover entre Simpsons e South Park que ele intitulou “Apenas clique com o botão direito + salvei seu endereço IP”.
Ele usou a imagem para provar e determinar que, quando a listagem de tokens não fungíveis é visualizada, ela carrega um código personalizado, que então registra o endereço IP do visualizador e o compartilha com o fornecedor.
Este NFT registra seu endereço IP:https://t.co/hB34JuJLH9
🧵
-Nick (Bax.eth) (@bax1337) 24 de janeiro de 2022
Bax admitiu em um tópico no Twitter que ele “não considera meu NFT de registro de IP OpenSea uma vulnerabilidade”, já que é simplesmente “a maneira como funciona”. É crucial notar que os NFTs são em sua essência, um pedaço de código de software ou dados digitais que podem ser puxados ou empurrados. É mais comum que a imagem real seja armazenada em um servidor remoto, enquanto apenas a URL do ativo está na cadeia.
Sempre que um NFT é transferido para um endereço de blockchain, a carteira criptográfica receptora busca a imagem remota do URL que está associado principalmente ao NFT. Bax também explicado os detalhes técnicos através de um post do Convex Labs Medium que o OpenSea permite que os criadores de NFT adicionem metadados extras que permite extensões de arquivo para páginas HTML.
Caso os metadados sejam armazenados principalmente como um arquivo JSON em uma rede de armazenamento descentralizada como IPFS ou servidores de nuvem centralizados remotos, o OpenSea pode baixar essa imagem como um pixel logger de “imagem invisível” e até mesmo hospedá-la em seu servidor.
Portanto, quando um possível comprador visualiza o NFT no OpenSea, ele carrega a página HTML e busca o pixel invisível que mostra o endereço IP do usuário e outros dados, incluindo versão do navegador, geolocalização e sistema operacional.
O cofundador do serviço de nós de privacidade OMNIA Protocol, o analista Alex Lupascu, realizou sua pesquisa com o Aplicativo móvel Metamask com os mesmos efeitos. Ele observou que uma responsabilidade que permite que os fornecedores enviem um NFT para uma carteira Metamask e obtenham o endereço IP de um usuário. Ele cunhou seu NFT no OpenSea e então transferiu a propriedade do NFT por meio de airdrop para sua carteira Metamask, e então concluiu encontrando uma 'vulnerabilidade crítica de privacidade'.
Minha equipe e eu descobrimos uma privacidade crítica #vulnerabilidade no mais popular #crypto #carteira.
Você está usando o MetaMask?
Bem, eu tenho más notícias para você - seu #privacidade está em risco!@samczsun @gakonst @VitalikButerin @cz_binance @fildaian https://t.co/ar30UMzR1G-Alex Lupascu (@alxlpsc) 20 de janeiro de 2022
Em seu post no Medium, Lupascu descreveu as possíveis consequências da forma como:
“O ator mal-intencionado pode criar um NFT com a imagem remota hospedada em seu servidor e, em seguida, lançar esse item colecionável para um endereço blockchain (vítima) e obter seu endereço IP.”
Ele se preocupa que, se um invasor coletar muitos desses NFTs, apontar todos para um URL e enviá-los para milhões de carteiras, isso poderá resultar em um ataque de negação de serviço distribuído em grande escala (DDoS). Os dados pessoais vazados podem resultar em sequestros como Lupascu mencionou.
Ele disse que uma possível solução pode precisar do consentimento total do usuário quando se trata de buscar a imagem remota do NFT: Metamask e todas as outras carteiras teriam que avisar o usuário que uma pessoa no OpenSea ou em qualquer outra bolsa deseja buscar a imagem remota do NFT e informar ao usuário que seu endereço IP pode estar exposto.
O CEO da Metamask, Dan Finlay, respondeu a Lupascu no Twitter dizendo que embora “o problema seja conhecido há muito tempo”, currently eles estão começando a trabalhar para corrigi-lo e aumentar a privacidade e segurança do usuário.
No mesmo dia, mesmo Vitalik Buterin viu o desafio da privacidade fora da cadeia na Web3. Durante um episódio recente do podcast UpOnly, Buterin insistiu:
“A luta por mais privacidade é importante. As pessoas estão subestimando os riscos da falta de privacidade”, acrescentando que quanto “mais cripto-y tudo se torna”, mais expostos estamos.
comentário 1