01/02/22
Торговая площадка для невзаимозаменяемых токенов (NFT) OpenSea и криптовалютный кошелек Metamask зафиксировали несколько случаев утечки IP-адресов, связанных с передаваемыми NFT. Об этом сообщили специалисты организации Convex Labs и разработчики протокола OMNIA.
Руководитель исследовательского отдела Convex Labs Ник Бакс (Nick Bax) изучил , как торговые площадки для NFT наподобие OpenSea позволяют третьим сторонам (поставщикам услуг, хакерам и пр.) собирать IP-адреса. Для этого он создал NFT-изображение, которое озаглавил «Я лишь кликнул правой кнопкой мыши и сохранил твой IP-адрес», с целью доказать, что при просмотре выставленного на продажу NFT загружается кастомный код, фиксирующий IP-адрес того, кто его просматривает, и отправляет поставщику.
Как отметил Бакс, он «не считает фиксацию IP-адресов в OpenSea уязвимостью», поскольку «это так работает». Важно помнить, что NFT являются, по своей сути, программным кодом или цифровыми данными, которые можно добавлять и извлекать. Очень часто само изображение или актив хранится на удаленном сервере, а в цепочке присутствует только его URL-адрес. При переводе NFT на блокчейн-адрес криптовалютный кошелек получателя извлекает удаленное изображение по связанному с ним URL-адресу.
По словам Бакса, OpenSea позволяет создателям NFT добавлять дополнительные метаданные, разрешающие разные расширения файлов для HTML-страниц. Если метаданные хранятся в виде файла json в децентрализованной сети хранения, например, в IPFS или на удаленном децентрализованном облачном сервере, OpenSea может загружать изображение наряду с невидимым пиксельным логгером и размещать их на собственном сервере. Поэтому, когда потенциальный покупатель просматривает NFT на OpenSea, загружается HTML-страница и извлекается невидимый пиксель, раскрывающий IP-адрес пользователя и другие данные, такие как местоположение, версия браузера и операционная система.
Соучредитель сервиса OMNIA Protocol аналитик Алекс Лупаску (Alex Lupascu) провел собственное расследование, но в отношении мобильного приложения Metamask, и пришел к тем же выводам, что и Бакс. Он обнаружил пассив, позволяющий поставщику отправлять NFT в кошелек Metamask и получать IP-адрес пользователя. Он создал свой собственный NFT на OpenSea и передал право собственности на NFT через airdrop на свой кошелек Metamask и пришел к выводу, что обнаружил «критическую уязвимость в конфиденциальности».
По словам Лупаску, «злоумышленник может создать NFT с удаленным изображением на его сервере, а затем с помощью airdrop добавить в блокчейн-адрес и получить IP-адрес». Его беспокоит то, что, если злоумышленник соберет коллекцию NFT, направит их все на один URL-адрес и разошлет их по миллионам кошельков, это может привести к крупномасштабной DDoS-атаке. По словам Лупаску, утечка персональных данных также может привести к похищению людей.
Генеральный директор Metamask Дэн Финлей (Dan Finlay) ответил Лупаску в Twitter, что «проблема известна давно», но они начинают работу по ее устранению и повышению безопасности и конфиденциальности пользователей только сейчас.
