Denne proof of concept NFT kan sveipe intetanende brukeres IP-adresser

admin

Det viser seg at noen NFT-er kanskje bygger egne samlinger. Målet deres? Dine private data.

Både OpenSea og Metamask har loggført tilfeller av IP-adresselekkasjer knyttet til overføring av ikke-fungible tokens (NFT), ifølge forskere ved Convex Labs og OMNIA-protokollen.

Nick Bax, forskningsleder ved NFT-organisasjonen Convex Labs testet ut hvordan NFT-markedsplasser som OpenSea lar leverandører eller angripere høste IP-adresser. Han opprettet en oppføring for et Simpsons og South Park crossover-bilde, med tittelen "Jeg høyreklikker + lagret IP-adressen din" for å bevise at når NFT-oppføringen vises, laster den inn tilpasset kode som logger seerens IP-adresse og deler den med leverandøren.

I en Twitter-tråd innrømmet Bax at han "ikke anser min OpenSea IP-logging NFT for å være en sårbarhet" fordi det ganske enkelt er "slik det fungerer." Det er viktig å huske at NFT-er i kjernen er et stykke programvarekode eller digitale data som kan skyves eller trekkes. Det er ganske vanlig at selve bildet eller aktivaet lagres på en ekstern server, mens bare aktivaets URL er på kjeden. Når en NFT overføres til en blokkjedeadresse, henter den mottakende kryptolommeboken det eksterne bildet fra URL-en knyttet til NFT.

Bax forklarte videre de tekniske detaljene i et Convex Labs Medium-innlegg om at OpenSea lar NFT-skapere legge til ytterligere metadata som muliggjør filutvidelser for HTML-sider. Hvis metadataene er lagret som en json-fil på et desentralisert lagringsnettverk, for eksempel IPFS eller på eksterne sentraliserte skyservere, kan OpenSea laste ned bildet i tillegg til en "usynlig bilde" piksellogger og være vert for det på sin egen server. Derfor, når en potensiell kjøper ser på NFT på OpenSea, laster den HTML-siden og henter den usynlige pikselen som avslører en brukers IP-adresse og andre data som geolokalisering, nettleserversjon og operativsystem.

Analytiker Alex Lupascu, medgründer av personvernnodetjenesten OMNIA Protocol, utførte sin egen forskning med Metamask-mobilappen med lignende effekter. Han oppdaget et ansvar som lar en leverandør sende en NFT til en Metamask-lommebok og få en brukers IP-adresse. Han preget sin egen NFT på OpenSea og overførte eierskapet til NFT via airdrop til Metamask-lommeboken sin, og konkluderte med å finne en "kritisk personvernsårbarhet."

Relatert: MetaMasks nye innebygde multichain institusjonelle varetektsfunksjon

I et Medium-innlegg beskrev Lupascu de potensielle konsekvensene av hvordan en "ondsinnet aktør kan lage en NFT med det eksterne bildet som er vert på serveren hans, og deretter sende dette samleobjektet til en blokkjedeadresse (offer) og få IP-adressen hans." Hans bekymring er at hvis en angriper samler en samling av NFT-er, peker dem alle til en enkelt URL og sender dem til millioner av lommebøker, kan det resultere i et distribuert tjenestenekt- eller DDoS-angrep i stor skala. Å få lekket personopplysninger kan også føre til kidnapping, ifølge Lupascu.

Han foreslo også at en potensiell løsning kan være å kreve eksplisitt brukersamtykke når det gjelder å hente det eksterne bildet av NFT: Metamask eller en hvilken som helst annen lommebok vil be brukeren om at noen på OpenSea eller en annen børs henter det eksterne bildet av NFT, og informere brukeren om at hans eller hennes IP-adresse kan bli eksponert.

Dan Finlay, administrerende direktør i Metamask, svarte til Lupascu på Twitter og uttalte at selv om «problemet har vært kjent i lang tid», starter de nå arbeidet med å fikse det og forbedre brukersikkerhet og personvern.

Samme dag anerkjente til og med Vitalik Buterin utfordringene med personvern utenfor kjeden innenfor Web3. I en nylig UpOnly-podcast-episode sa Buterin at "kampen for mer privatliv er viktig. Folk undervurderer risikoen for manglende personvern," og la til at jo "mer krypto-y alt blir," jo mer utsatt er vi.

Det viser seg at noen NFT-er kanskje bygger egne samlinger. Målet deres? Dine private data.

Både OpenSea og Metamask har loggført tilfeller av IP-adresselekkasjer knyttet til overføring av ikke-fungible tokens (NFT), ifølge forskere ved Convex Labs og OMNIA-protokollen.

Nick Bax, forskningsleder ved NFT-organisasjonen Convex Labs testet ut hvordan NFT-markedsplasser som OpenSea lar leverandører eller angripere høste IP-adresser. Han opprettet en oppføring for et Simpsons og South Park crossover-bilde, med tittelen "Jeg høyreklikker + lagret IP-adressen din" for å bevise at når NFT-oppføringen vises, laster den inn tilpasset kode som logger seerens IP-adresse og deler den med leverandøren.

I en Twitter-tråd innrømmet Bax at han "ikke anser min OpenSea IP-logging NFT for å være en sårbarhet" fordi det ganske enkelt er "slik det fungerer." Det er viktig å huske at NFT-er i kjernen er et stykke programvarekode eller digitale data som kan skyves eller trekkes. Det er ganske vanlig at selve bildet eller aktivaet lagres på en ekstern server, mens bare aktivaets URL er på kjeden. Når en NFT overføres til en blokkjedeadresse, henter den mottakende kryptolommeboken det eksterne bildet fra URL-en knyttet til NFT.

Bax forklarte videre de tekniske detaljene i et Convex Labs Medium-innlegg om at OpenSea lar NFT-skapere legge til ytterligere metadata som muliggjør filutvidelser for HTML-sider. Hvis metadataene er lagret som en json-fil på et desentralisert lagringsnettverk, for eksempel IPFS eller på eksterne sentraliserte skyservere, kan OpenSea laste ned bildet i tillegg til en "usynlig bilde" piksellogger og være vert for det på sin egen server. Derfor, når en potensiell kjøper ser på NFT på OpenSea, laster den HTML-siden og henter den usynlige pikselen som avslører en brukers IP-adresse og andre data som geolokalisering, nettleserversjon og operativsystem.

Analytiker Alex Lupascu, medgründer av personvernnodetjenesten OMNIA Protocol, utførte sin egen forskning med Metamask-mobilappen med lignende effekter. Han oppdaget et ansvar som lar en leverandør sende en NFT til en Metamask-lommebok og få en brukers IP-adresse. Han preget sin egen NFT på OpenSea og overførte eierskapet til NFT via airdrop til Metamask-lommeboken sin, og konkluderte med å finne en "kritisk personvernsårbarhet."

Relatert: MetaMasks nye innebygde multichain institusjonelle varetektsfunksjon

I et Medium-innlegg beskrev Lupascu de potensielle konsekvensene av hvordan en "ondsinnet aktør kan lage en NFT med det eksterne bildet som er vert på serveren hans, og deretter sende dette samleobjektet til en blokkjedeadresse (offer) og få IP-adressen hans." Hans bekymring er at hvis en angriper samler en samling av NFT-er, peker dem alle til en enkelt URL og sender dem til millioner av lommebøker, kan det resultere i et distribuert tjenestenekt- eller DDoS-angrep i stor skala. Å få lekket personopplysninger kan også føre til kidnapping, ifølge Lupascu.

Han foreslo også at en potensiell løsning kan være å kreve eksplisitt brukersamtykke når det gjelder å hente det eksterne bildet av NFT: Metamask eller en hvilken som helst annen lommebok vil be brukeren om at noen på OpenSea eller en annen børs henter det eksterne bildet av NFT, og informere brukeren om at hans eller hennes IP-adresse kan bli eksponert.

Dan Finlay, administrerende direktør i Metamask, svarte til Lupascu på Twitter og uttalte at selv om «problemet har vært kjent i lang tid», starter de nå arbeidet med å fikse det og forbedre brukersikkerhet og personvern.

Samme dag anerkjente til og med Vitalik Buterin utfordringene med personvern utenfor kjeden innenfor Web3. I en nylig UpOnly-podcast-episode sa Buterin at "kampen for mer privatliv er viktig. Folk undervurderer risikoen for manglende personvern," og la til at jo "mer krypto-y alt blir," jo mer utsatt er vi.

Leave a Reply

Your email address will not be published.

Next Post

Apple-aksjen stiger 5 % ettersom administrerende direktør bekrefter at selskapet vil utforske metaversen

Tim Cook, administrerende direktør i Apple Sammen med et rekordstort kvartalsresultat på 35 milliarder dollar og en 11,2 % økning i salget til 124 dollar...

Apple øker med 5 % ettersom administrerende direktør bekrefter at selskapet vil utforske metaverset dukket opp først på Cointimes.

Subscribe US Now