Это доказательство концепции NFT может использовать IP-адреса ничего не подозревающих пользователей

По данным исследователей из Convex Labs и OMNIA Protocol, и в OpenSea, и в Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации)mask были зарегистрированы случаи утечки IP-адресов, связанные с передачей нефункциональных токенов (NFT).

Ник Бакс, руководитель отдела исследований в организации Convex Labs, занимающейся NFT, проверил, как торговые площадки NFT, такие как OpenSea, позволяют продавцам или злоумышленникам собирать IP-адреса. Он создал объявление о продаже кроссовера Симпсонов и Южного парка, озаглавив его «Я просто щелкнул правой кнопкой мыши + сохранил ваш IP-адрес», чтобы доказать, что при просмотре объявления NFT загружает пользовательский код, который регистрирует IP-адрес зрителя и передает его продавцу.

Этот NFT регистрирует ваш IP-адрес:

— Ник (Bax.eth) (@bax1337) 24 января 2022 г.

В Твиттере Бакс признался, что он «не считает мой OpenSea IP logging NFT уязвимостью», потому что это просто «способ, которым он работает». Важно помнить, что NFT по своей сути являются частью программного кода или цифровых данных, которые можно подталкивать или вытягивать. Довольно часто фактическое изображение или актив хранится на удаленном сервере, а на цепочке находится только URL актива. Когда НФТ передается на адрес блокчейна, принимающий криптокошелек извлекает удаленное изображение из URL, связанного с НФТ.

Бакс объяснил технические детали в сообщении Convex Labs Medium, что OpenSea позволяет создателям НФТ добавлять дополнительные метаданные, которые позволяют расширить файлы для HTML-страниц. Если метаданные хранятся в виде json-файла в децентрализованной сети хранения, такой как IPFS или на удаленных централизованных облачных серверах, то OpenSea может загрузить изображение, а также пиксельный логгер «невидимого изображения» и разместить его на своем сервере. Таким образом, когда потенциальный покупатель просматривает NFT на OpenSea, он загружает HTML-страницу и получает невидимый пиксель, который раскрывает IP-адрес пользователя и другие данные, такие как геолокация, версия браузера и операционная система.

Аналитик Алекс Лупаску, соучредитель службы узла конфиденциальности OMNIA Protocol, провел собственное исследование с мобильным приложением Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации)mask с аналогичным эффектом. Он обнаружил ошибку, которая позволяет продавцу отправить NFT на кошелек Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации)mask и получить IP-адрес пользователя.  Он майнил свой собственный NFT на OpenSea и передал право собственности на NFT через airdrop на свой кошелек Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации)mask, и пришел к выводу, что обнаружил «критическую уязвимость конфиденциальности».

Моя команда и я обнаружили критическую #уязвимость конфиденциальности в самом популярном #крипто #кошельке.

Вы используете Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации)Mask?

У меня для вас плохие новости — ваша #приватность находится под угрозой! @samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G

— Алекс Лупаску (@alxlpsc) 20 января 2022 г.

В своем сообщении на Medium Лупаску описал потенциальные последствия того, как «злоумышленник может майнить NFT с удаленным изображением, размещенным на его сервере, затем передать этот сборник по воздуху на адрес блокчейна (жертвы) и получить его IP-адрес». Его беспокоит то, что если злоумышленник соберет коллекцию NFT, направит их все на один URL-адрес и разошлет их по миллионам кошельков, то это может привести к крупномасштабной распределенной атаке типа «отказ в обслуживании», или DDoS-атаке. Утечка персональных данных может также привести к похищению людей, считает Лупаску. 

Он также предположил, что потенциальным решением может стать требование явного согласия пользователя на получение удаленного изображения НФТ: Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации)mask или любой другой кошелек будет сообщать пользователю, что кто-то на OpenSea или другой бирже получает удаленное изображение НФТ, и информировать пользователя о том, что его или ее IP-адрес может быть раскрыт.

Дэн Финлей, генеральный директор Meta (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации)mask, ответил Лупаску в Твиттере, заявив, что, хотя «проблема известна уже давно», сейчас они начинают работу по ее устранению и повышению безопасности и конфиденциальности пользователей.

В тот же день даже Виталик Бутерин признал проблемы конфиденциальности вне цепочки в Web3. В недавнем эпизоде подкаста UpOnly Бутерин сказал, что «борьба за повышение конфиденциальности очень важна. Люди недооценивают риски отсутствия конфиденциальности», добавив, что чем «более криптовалютным все становится», тем больше мы подвержены риску.