Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

NFT могут раскрывать IP-адреса пользователей

01/02/22

NFT4Торговая площадка для невзаимозаменяемых токенов (NFT) OpenSea и криптовалютный кошелек Metamask зафиксировали несколько случаев утечки IP-адресов, связанных с передаваемыми NFT. Об этом сообщили специалисты организации Convex Labs и разработчики протокола OMNIA.

Руководитель исследовательского отдела Convex Labs Ник Бакс (Nick Bax) изучил , как торговые площадки для NFT наподобие OpenSea позволяют третьим сторонам (поставщикам услуг, хакерам и пр.) собирать IP-адреса. Для этого он создал NFT-изображение, которое озаглавил «Я лишь кликнул правой кнопкой мыши и сохранил твой IP-адрес», с целью доказать, что при просмотре выставленного на продажу NFT загружается кастомный код, фиксирующий IP-адрес того, кто его просматривает, и отправляет поставщику.

Как отметил Бакс, он «не считает фиксацию IP-адресов в OpenSea уязвимостью», поскольку «это так работает». Важно помнить, что NFT являются, по своей сути, программным кодом или цифровыми данными, которые можно добавлять и извлекать. Очень часто само изображение или актив хранится на удаленном сервере, а в цепочке присутствует только его URL-адрес. При переводе NFT на блокчейн-адрес криптовалютный кошелек получателя извлекает удаленное изображение по связанному с ним URL-адресу.

По словам Бакса, OpenSea позволяет создателям NFT добавлять дополнительные метаданные, разрешающие разные расширения файлов для HTML-страниц. Если метаданные хранятся в виде файла json в децентрализованной сети хранения, например, в IPFS или на удаленном децентрализованном облачном сервере, OpenSea может загружать изображение наряду с невидимым пиксельным логгером и размещать их на собственном сервере. Поэтому, когда потенциальный покупатель просматривает NFT на OpenSea, загружается HTML-страница и извлекается невидимый пиксель, раскрывающий IP-адрес пользователя и другие данные, такие как местоположение, версия браузера и операционная система.

Соучредитель сервиса OMNIA Protocol аналитик Алекс Лупаску (Alex Lupascu) провел собственное расследование, но в отношении мобильного приложения Metamask, и пришел к тем же выводам, что и Бакс. Он обнаружил пассив, позволяющий поставщику отправлять NFT в кошелек Metamask и получать IP-адрес пользователя. Он создал свой собственный NFT на OpenSea и передал право собственности на NFT через airdrop на свой кошелек Metamask и пришел к выводу, что обнаружил «критическую уязвимость в конфиденциальности».

По словам Лупаску, «злоумышленник может создать NFT с удаленным изображением на его сервере, а затем с помощью airdrop добавить в блокчейн-адрес и получить IP-адрес». Его беспокоит то, что, если злоумышленник соберет коллекцию NFT, направит их все на один URL-адрес и разошлет их по миллионам кошельков, это может привести к крупномасштабной DDoS-атаке. По словам Лупаску, утечка персональных данных также может привести к похищению людей.

Генеральный директор Metamask Дэн Финлей (Dan Finlay) ответил Лупаску в Twitter, что «проблема известна давно», но они начинают работу по ее устранению и повышению безопасности и конфиденциальности пользователей только сейчас.

Темы:криптовалютыОтрасльIP-адресаNFT
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • DeFi: инкапсулированная угроза децентрализованных финансов
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Увеличивающиеся инвестиции в DeFi привлекают внимание все большего количества хакерских групп, что усугубляется технической сложностью это сферы, не всегда достаточной квалификацией пользователей и отсутствием эффективного регулирования о стороны законодательства
  • Смарт-контракты и вопросы безопасности
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Поскольку транзакции блокчейна необратимы, очень важно убедиться в безопасности кода смарт-контрактов
  • Сущность и риски NFT
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    NFT – это цифровые активы с запрограммированной редкостью, они идеально подходят для представления прав собственности на виртуальные активы
  • Платформа SICP для отслеживания подозрительных транзакций и обеспечения безопасности блокчейнов
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    С 2021 г. в России будет осуществляться идентификация владельцев цифровых активов, внедряться скоринг транзакций и мониторинг криптовалютных транзакций.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...