Cả OpenSea và Metamask đã ghi lại các trường hợp rò rỉ địa chỉ IP liên quan đến việc chuyển NFT, theo các nhà nghiên cứu tại Convex Labs và giao thức OMNIA.
Nick Bax, người đứng đầu nghiên cứu tại tổ chức NFT Convex Labs đã thử nghiệm cách các thị trường NFT như OpenSea cho phép các nhà cung cấp hoặc kẻ tấn công thu hoạch địa chỉ IP. Ông đã tạo ra một danh sách cho một hình ảnh chéo Simpsons và South Park, cho phép nó “Tôi chỉ cần nhấp chuột phải + lưu địa chỉ IP của bạn” để chứng minh rằng khi danh sách NFT được xem, nó tải mã tùy chỉnh ghi lại địa chỉ IP của người xem và chia sẻ nó với nhà cung cấp.
NFT này ghi lại địa chỉ IP của bạn: https://t.co/hB34JuJLH9
– bax.eth (@bax1337) ngày 24 tháng 1 năm 2022
Trong một chủ đề Twitter, Bax thừa nhận rằng ông “không coi việc ghi nhật ký IP OpenSea của tôi NFT là một lỗ hổng” bởi vì đó chỉ đơn giản là “cách nó hoạt động”. Điều quan trọng cần nhớ là NFT là cốt lõi của chúng là một phần mã phần mềm hoặc dữ liệu kỹ thuật số có thể được đẩy hoặc kéo. Nó là khá phổ biến cho hình ảnh thực tế hoặc tài sản được lưu trữ trên một máy chủ từ xa, trong khi chỉ URL của tài sản là trên chuỗi. Khi một NFT được chuyển đến một địa chỉ blockchain, ví tiền điện tử nhận được lấy hình ảnh từ xa từ URL được liên kết với NFT.
Bax further explained the technical details in a Convex Labs Medium post that OpenSea allows NFT creators to add additional metadata that enables file extensions for HTML pages. If the metadata is stored as a json file on a decentralized storage network such as IPFS or on remote centralized cloud servers, then OpenSea can download the image as well as an “invisible image” pixel logger and host it on its own server. Thus when a potential buyer views the NFT on OpenSea, it loads the HTML page and fetches the invisible pixel that reveals a user’s IP address and other data like geolocation, browser version and operating system.
Nhà phân tích Alex Lupascu, đồng sáng lập của dịch vụ nút riêng tư OMNIA Protocol, đã tiến hành nghiên cứu riêng của mình với ứng dụng di động Metamask với các hiệu ứng tương tự. Ông phát hiện ra một trách nhiệm pháp lý cho phép nhà cung cấp gửi NFT đến ví Metamask và lấy địa chỉ IP của người dùng. Ông đã đúc NFT của riêng mình trên OpenSea và chuyển quyền sở hữu NFT thông qua airdrop vào ví Metamask của mình, và kết luận tìm ra một “lỗ hổng bảo mật quan trọng.”
Nhóm của tôi và tôi đã phát hiện ra một sự riêng tư quan trọng #vulnerability trong phổ biến nhất #crypto #wallet.
Bạnđang sử dụng MetaMask?
Chà, tôi có tin xấu cho bạn – #privacy của bạn có nguy cơ! @samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G– Alex Lupascu (@alxlpsc) ngày 20 tháng 1 năm 2022
Related: MetaMask’s new inbuilt multichain institutional custody feature
Trong một bài viết trung bình, Lupascu đã mô tả những hậu quả tiềm tàng của cách một “diễn viên độc hại có thể bạc hà một NFT với hình ảnh từ xa được lưu trữ trên máy chủ của mình, sau đó airdrop này thu thập đến một địa chỉ blockchain (nạn nhân) và lấy địa chỉ IP của mình.” Mối quan tâm của ông là nếu kẻ tấn công tập hợp một bộ sưu tập các NFT, chỉ tất cả chúng vào một URL duy nhất và airdrop chúng vào hàng triệu ví, thì nó có thể dẫn đến một sự từ chối dịch vụ phân phối quy mô lớn, hoặc tấn công DDoS. Việc bị rò rỉ dữ liệu cá nhân cũng có thể dẫn đến bắt cóc, theo Lupascu.
Ông cũng đề xuất một giải pháp tiềm năng có thể yêu cầu sự đồng ý của người dùng rõ ràng khi lấy hình ảnh từ xa của NFT: Metamask hoặc bất kỳ ví nào khác sẽ nhắc người dùng rằng ai đó trên OpenSea hoặc một sàn giao dịch khác đang lấy hình ảnh từ xa của NFT và thông báo cho người dùng rằng địa chỉ IP của mình có thể bị lộ.
Dan Finlay, Giám đốc điều hành của Metamask, đã trả lời Lupascu trên Twitter nói rằng mặc dù “vấn đề đã được biết đến từ lâu”, họ hiện đang bắt đầu làm việc để khắc phục và cải thiện người dùng an toàn và sự riêng tư.
Cùng ngày hôm đó, ngay cả Vitalik Buterin cũng nhận ra những thách thức về quyền riêng tư ngoài chuỗi trong Web3. Trên một tập podcast UpOnly gần đây, Buterin nói rằng “cuộc chiến giành quyền riêng tư hơn là một trong những quan trọng. Mọi người đang đánh giá thấp những rủi ro không có quyền riêng tư,” nói thêm rằng mọi thứ càng trở nên mật mã, thì chúng ta càng tiếp xúc.
