Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

NFT могут раскрывать IP-адреса пользователей

01/02/22

NFT4Торговая площадка для невзаимозаменяемых токенов (NFT) OpenSea и криптовалютный кошелек Metamask зафиксировали несколько случаев утечки IP-адресов, связанных с передаваемыми NFT. Об этом сообщили специалисты организации Convex Labs и разработчики протокола OMNIA.

Руководитель исследовательского отдела Convex Labs Ник Бакс (Nick Bax) изучил , как торговые площадки для NFT наподобие OpenSea позволяют третьим сторонам (поставщикам услуг, хакерам и пр.) собирать IP-адреса. Для этого он создал NFT-изображение, которое озаглавил «Я лишь кликнул правой кнопкой мыши и сохранил твой IP-адрес», с целью доказать, что при просмотре выставленного на продажу NFT загружается кастомный код, фиксирующий IP-адрес того, кто его просматривает, и отправляет поставщику.

Как отметил Бакс, он «не считает фиксацию IP-адресов в OpenSea уязвимостью», поскольку «это так работает». Важно помнить, что NFT являются, по своей сути, программным кодом или цифровыми данными, которые можно добавлять и извлекать. Очень часто само изображение или актив хранится на удаленном сервере, а в цепочке присутствует только его URL-адрес. При переводе NFT на блокчейн-адрес криптовалютный кошелек получателя извлекает удаленное изображение по связанному с ним URL-адресу.

По словам Бакса, OpenSea позволяет создателям NFT добавлять дополнительные метаданные, разрешающие разные расширения файлов для HTML-страниц. Если метаданные хранятся в виде файла json в децентрализованной сети хранения, например, в IPFS или на удаленном децентрализованном облачном сервере, OpenSea может загружать изображение наряду с невидимым пиксельным логгером и размещать их на собственном сервере. Поэтому, когда потенциальный покупатель просматривает NFT на OpenSea, загружается HTML-страница и извлекается невидимый пиксель, раскрывающий IP-адрес пользователя и другие данные, такие как местоположение, версия браузера и операционная система.

Соучредитель сервиса OMNIA Protocol аналитик Алекс Лупаску (Alex Lupascu) провел собственное расследование, но в отношении мобильного приложения Metamask, и пришел к тем же выводам, что и Бакс. Он обнаружил пассив, позволяющий поставщику отправлять NFT в кошелек Metamask и получать IP-адрес пользователя. Он создал свой собственный NFT на OpenSea и передал право собственности на NFT через airdrop на свой кошелек Metamask и пришел к выводу, что обнаружил «критическую уязвимость в конфиденциальности».

По словам Лупаску, «злоумышленник может создать NFT с удаленным изображением на его сервере, а затем с помощью airdrop добавить в блокчейн-адрес и получить IP-адрес». Его беспокоит то, что, если злоумышленник соберет коллекцию NFT, направит их все на один URL-адрес и разошлет их по миллионам кошельков, это может привести к крупномасштабной DDoS-атаке. По словам Лупаску, утечка персональных данных также может привести к похищению людей.

Генеральный директор Metamask Дэн Финлей (Dan Finlay) ответил Лупаску в Twitter, что «проблема известна давно», но они начинают работу по ее устранению и повышению безопасности и конфиденциальности пользователей только сейчас.

Темы:криптовалютыОтрасльIP-адресаNFT
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

  • DeFi: инкапсулированная угроза децентрализованных финансов
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Увеличивающиеся инвестиции в DeFi привлекают внимание все большего количества хакерских групп, что усугубляется технической сложностью это сферы, не всегда достаточной квалификацией пользователей и отсутствием эффективного регулирования о стороны законодательства
  • Смарт-контракты и вопросы безопасности
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Поскольку транзакции блокчейна необратимы, очень важно убедиться в безопасности кода смарт-контрактов
  • Сущность и риски NFT
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    NFT – это цифровые активы с запрограммированной редкостью, они идеально подходят для представления прав собственности на виртуальные активы
  • Платформа SICP для отслеживания подозрительных транзакций и обеспечения безопасности блокчейнов
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    С 2021 г. в России будет осуществляться идентификация владельцев цифровых активов, внедряться скоринг транзакций и мониторинг криптовалютных транзакций.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...