Экспериментальный NFT может перехватывать IP-адреса ничего не подозревающих пользователей

Экспериментальный NFT может перехватывать IP-адреса ничего не подозревающих пользователей

Оказывается, некоторые NFT могут создавать собственные коллекции. Их цель? Ваши личные данные.

По словам исследователей из Convex Labs и протокола OMNIA, и OpenSea, и Metamask зарегистрировали случаи утечки IP-адресов, связанные с передачей невзаимозаменяемых токенов (NFT).

Ник Бакс, руководитель отдела исследований организации NFT Convex Labs, проверил, как торговые площадки NFT, такие как OpenSea, позволяют поставщикам или злоумышленникам собирать IP-адреса. Он разместил изображение Симпсонов и Южного парка, озаглавив его «Я просто щелкнул правой кнопкой мыши + сохранил ваш IP-адрес», чтобы доказать, что при просмотре списка NFT он загружает собственный код, который регистрирует IP-адрес зрителя и делится им с продавцом.

Экспериментальный NFT может перехватывать IP-адреса ничего не подозревающих пользователей

В ветке Твиттера Бакс признал, что «не считает уязвимостью регистрацию IP-адресов OpenSea NFT», потому что «это просто так работает». Важно помнить, что NFT по своей сути являются частью программного кода или цифровых данных, которые можно передавать или извлекать. Довольно часто фактическое изображение или ресурс хранится на удаленном сервере, в то время как только URL-адрес актива находится в блокчейне. Когда NFT передается на адрес блокчейна, принимающий крипто-кошелек извлекает удаленное изображение из URL-адреса, связанного с NFT.

Бакс далее объяснил технические детали в сообщении Convex Labs Medium о том, что OpenSea позволяет создателям NFT добавлять дополнительные метаданные, которые позволяют использовать расширения файлов для HTML-страниц. Если метаданные хранятся в виде файла json в децентрализованной сети хранения, такой как IPFS, или на удаленных централизованных облачных серверах, то OpenSea может загрузить изображение, а также регистратор пикселей «невидимого изображения» и разместить его на своем собственном сервере. Таким образом, когда потенциальный покупатель просматривает NFT на OpenSea, он загружает HTML-страницу и извлекает невидимый пиксель, который показывает IP-адрес пользователя и другие данные, такие как геолокация, версия браузера и операционная система.

Аналитик Алекс Лупаску, соучредитель сервиса узлов конфиденциальности OMNIA Protocol, провел собственное исследование с мобильным приложением Metamask с аналогичными эффектами. Он обнаружил пассив, который позволяет поставщику отправлять NFT в кошелек Metamask и получать IP-адрес пользователя. Он создал свой собственный NFT на OpenSea и передал право собственности на NFT через airdrop на свой кошелек Metamask и пришел к выводу, что обнаружил «критическую уязвимость конфиденциальности».

В сообщении на Medium Лупаску описал потенциальные последствия того, как «злоумышленник может создать NFT с удаленным изображением, размещенным на его сервере, а затем сбросить этот предмет коллекционирования на адрес блокчейна (жертвы) и получить его IP-адрес». Его беспокоит то, что если злоумышленник соберет коллекцию NFT, направит их все на один URL-адрес и разошлет их по миллионам кошельков, это может привести к крупномасштабной распределенной атаке типа «отказ в обслуживании» или DDoS-атаке. По словам Лупаску, утечка личных данных также может привести к похищению людей.

Он также предположил, что потенциальное решение может потребовать явного согласия пользователя, когда дело доходит до получения удаленного образа NFT: Metamask или любой другой кошелек подскажет пользователю, что кто-то на OpenSea или другой бирже получает удаленный образ NFT, и проинформирует пользователя о том, что его или ее IP-адрес может быть раскрыт.

Дэн Финлей, генеральный директор Metamask, ответил Лупаску в Твиттере, заявив, что, несмотря на то, что «проблема известна давно», сейчас они начинают работу по ее устранению и повышению безопасности и конфиденциальности пользователей.

В тот же день даже Виталик Бутерин признал проблемы конфиденциальности вне сети в Web3. В недавнем выпуске подкаста UpOnly Бутерин сказал, что «борьба за большую конфиденциальность является важной задачей. Люди недооценивают риски отсутствия конфиденциальности», добавив, что «чем более крипто- все становится», тем больше мы уязвимы.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован.