По словам исследователей из Convex Labs и протокола OMNIA, и OpenSea, и Metamask зарегистрировали случаи утечки IP-адресов, связанные с передачей NFT.

Ник Бакс, руководитель отдела исследований организации NFT Convex Labs, проверил, как торговые площадки NFT, такие как OpenSea, позволяют поставщикам или злоумышленникам собирать IP-адреса. Он создал листинг для изображения кроссовера «Симпсоны» и «Южный парк», озаглавив его «Я просто щелкнул правой кнопкой мыши + сохранил ваш IP-адрес», чтобы доказать, что при просмотре листинга NFT он загружает пользовательский код, который регистрирует IP-адрес зрителя и делится им с продавец.

Этот NFT регистрирует ваш IP-адрес: https://t.co/hB34JuJLH9.

— bax.ETH (@bax1337) 24 января 2022 г.

В ветке Твиттера Бакс признал, что «не считает уязвимостью мою регистрацию IP-адресов OpenSea NFT», потому что «это просто так работает». Важно помнить, что NFT по своей сути являются частью программного кода или цифровых данных, которые можно передавать или извлекать. Довольно часто фактическое изображение или ресурс хранится на удаленном сервере, в то время как только URL-адрес ресурса находится в цепочке. Когда NFT передается на адрес блокчейна, принимающий крипто-кошелек извлекает удаленное изображение из URL-адреса, связанного с NFT.

Бакс далее объяснил технические детали в сообщении Convex Labs Medium о том, что OpenSea позволяет создателям NFT добавлять дополнительные метаданные , которые позволяют использовать расширения файлов для HTML-страниц. Если метаданные хранятся в виде файла json в децентрализованной сети хранения, такой как IPFS, или на удаленных централизованных облачных серверах, то OpenSea может загрузить изображение, а также регистратор пикселей «невидимого изображения» и разместить его на своем собственном сервере. Таким образом, когда потенциальный покупатель просматривает NFT на OpenSea, он загружает HTML-страницу и извлекает невидимый пиксель, который показывает IP-адрес пользователя и другие данные, такие как геолокация, версия браузера и операционная система.

Аналитик Алекс Лупаску, соучредитель сервиса узлов конфиденциальности OMNIA Protocol, провел собственное исследование с мобильным приложением Metamask с аналогичными эффектами. Он обнаружил пассив, который позволяет поставщику отправлять NFT в кошелек Metamask и получать IP-адрес пользователя. Он создал свой собственный NFT на OpenSea и передал право собственности на NFT через airdrop на свой кошелек Metamask и пришел к выводу, что обнаружил «критическую уязвимость конфиденциальности».

Я и моя команда обнаружили критическую #уязвимость конфиденциальности в самом популярном #крипто-кошельке.

Вы используете МетаМаск?
Что ж, у меня для вас плохие новости — ваша конфиденциальность под угрозой! @samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G

– Алекс Лупаску (@alxlpsc) 20 января 2022 г.

В сообщении на Medium Лупаску описал потенциальные последствия того, как «злоумышленник может создать NFT с удаленным изображением, размещенным на его сервере, а затем сбросить этот предмет коллекционирования на адрес блокчейна (жертвы) и получить его IP-адрес». Его беспокоит то, что если злоумышленник соберет коллекцию NFT, направит их все на один URL-адрес и разошлет их по миллионам кошельков, это может привести к крупномасштабной распределенной атаке типа «отказ в обслуживании» или DDoS-атаке. По словам Лупаску, утечка личных данных также может привести к похищению людей.

Он также предположил, что потенциальное решение может потребовать явного согласия пользователя, когда дело доходит до получения удаленного образа NFT: Metamask или любой другой кошелек подскажет пользователю, что кто-то на OpenSea или другой бирже получает удаленный образ NFT, и информирование пользователя о том, что его или ее IP-адрес может быть раскрыт.

Дэн Финли, генеральный директор Metamask, ответил Лупаску в Твиттере, заявив, что, несмотря на то, что «проблема известна давно», сейчас они начинают работу по ее устранению и повышению безопасности и конфиденциальности пользователей.

В тот же день даже Виталик Бутерин признал проблемы конфиденциальности вне сети в Web3. В недавнем выпуске подкаста UpOnly Бутерин сказал, что «борьба за большую конфиденциальность является важной задачей. Люди недооценивают риски отсутствия конфиденциальности», добавив, что «чем более крипто-и все становится», тем больше мы уязвимы.

Источник