Теперь анализ показывает, что некоторые из NFT проекты могут создавать собственные коллекции, ориентируясь на личные данные пользователей. Metamask и OpenSea зарегистрировали случаи утечки IP-адресов, связанные с передачей невзаимозаменяемых токенов (NFT), на основании данных исследователей из Convex Labs и протокола OMNIA.
Руководитель отдела исследований NFT Convex Labs Ник Бакс проверил способ NFT. торговые площадки, такие как OpenSea позволить злоумышленникам или поставщикам собирать или красть IP-адреса. Он придумал список изображений кроссовера «Симпсоны» и «Южный парк», который он назвал «Я просто щелкнул правой кнопкой мыши + сохранил ваш IP-адрес».
Он использовал изображение, чтобы доказать и определить, что при просмотре списка невзаимозаменяемых токенов он загружает пользовательский код, который затем регистрирует IP-адрес зрителя и передает его поставщику.
Этот NFT регистрирует ваш IP-адрес:https://t.co/hB34JuJLH9
🧵
— Ник (Bax.eth) (@bax1337) 24 января 2022
Бакс признался в ветке Твиттера, что он «не считает уязвимостью мою регистрацию IP-адресов OpenSea NFT», поскольку «это просто так работает». Важно отметить, что NFT по своей сути являются частью программного кода или цифровых данных, которые можно получить или передать. Чаще всего реальное изображение хранится на удаленном сервере, в то время как в сети находится только URL-адрес актива.
Всякий раз, когда NFT передается на адрес блокчейна, принимающий крипто-кошелек извлекает удаленное изображение с URL-адреса, который в основном связан с NFT. Бакс также объяснены технические подробности в сообщении Convex Labs Medium о том, что OpenSea позволяет создателям NFT добавлять дополнительные метаданные, которые позволяет расширения файлов для HTML-страниц.
Если метаданные в основном хранятся в виде файла JSON в децентрализованной сети хранения, такой как IPFS, или на удаленных централизованных облачных серверах, то OpenSea может загрузить это изображение так же, как регистратор пикселей «невидимого изображения», и даже разместить его на своем сервере.
Поэтому, когда возможный покупатель просматривает NFT на OpenSea, он загружает HTML-страницу и извлекает невидимый пиксель, который показывает IP-адрес пользователя и другие данные, включая версию браузера, геолокацию и операционную систему.
Соучредитель сервиса узлов конфиденциальности OMNIA Protocol, аналитик Алекс Лупаску, провел свое исследование с Мобильное приложение Метамаска с теми же эффектами. Он отметил, что это обязательство, которое позволяет поставщикам отправлять NFT в кошелек Metamask и получать IP-адрес пользователя. Он выпустил свой NFT на OpenSea, а затем передал право собственности на NFT через airdrop на свой кошелек Metamask, а затем пришел к выводу, что обнаружил «критическую уязвимость конфиденциальности».
Моя команда и я обнаружили критическую конфиденциальность # уязвимость в самых популярных #Crypto #бумажник.
Вы используете МетаМаск?
Что ж, у меня для вас плохие новости – ваш # Конфиденциальности находится в опасности!@samczsun @гаконст @VitalikButerin @cz_binance @Филdaian https://t.co/ar30UMzR1G— Алекс Лупаску (@alxlpsc) 20 января 2022
В своем посте на Medium Лупаску описал возможные последствия такого пути:
«Злоумышленник может создать NFT с удаленным изображением, размещенным на его сервере, а затем сбросить этот предмет коллекционирования на адрес блокчейна (жертвы) и получить его IP-адрес».
Он опасается, что если злоумышленник соберет многие из этих NFT, направит их все на один URL-адрес и разошлет их по миллионам кошельков, это может привести к крупномасштабной распределенной атаке типа «отказ в обслуживании» (DDoS). По словам Лупаску, утечка личных данных может привести к похищению людей.
Он сказал, что возможное решение может потребовать полного согласия пользователя, когда дело доходит до получения удаленного образа NFT: Metamask и все другие кошельки должны будут подсказывать пользователю, что человек на OpenSea или любой другой бирже хочет получить удаленный образ NFT и информировать пользователя о том, что его IP-адрес может быть раскрыт.
Генеральный директор Metamask Дэн Финли, ответ Лупаску в Твиттере, заявив, что, хотя «эта проблема известна давно»,renСейчас они начинают работать над ее исправлением и повышением конфиденциальности и безопасности пользователей.
В тот же день даже Виталик Бутерин увидел проблему конфиденциальности вне сети в Web3. Во время недавнего выпуска подкаста UpOnly Бутерин настаивал:
«Борьба за большую конфиденциальность очень важна. Люди недооценивают риски, связанные с отсутствием конфиденциальности», добавив, что чем «все становится более крипто-активным», тем более уязвимыми мы становимся.
1 комментарий