Zarówno OpenSea, jak i Metamask odnotowały przypadki wycieków adresów IP związanych z transferem NFT, według badaczy z Convex Labs i protokołu OMNIA.

Nick Bax, szef działu badań organizacji Convex Labs sprawdził, w jaki sposób rynki NFT, takie jak OpenSea, pozwalają sprzedawcom lub atakującym na zbieranie adresów IP. Stworzył on ofertę obrazu będącego skrzyżowaniem Simpsonów i South Parku, opatrując ją tytułem „I just right click + saved your IP address”, aby udowodnić, że gdy oferta NFT jest przeglądana, ładuje ona niestandardowy kod, który rejestruje adres IP oglądającego i udostępnia go sprzedawcy.

W wątku na Twitterze, Bax przyznał, że „nie uważa mojego OpenSea IP logging NFT za podatność”, ponieważ jest to po prostu „sposób, w jaki to działa”. Ważne jest, aby pamiętać, że NFT są w swojej istocie kawałkiem kodu oprogramowania lub danych cyfrowych, które mogą być popychane lub ciągnięte. Dość często zdarza się, że rzeczywisty obraz lub zasób jest przechowywany na zdalnym serwerze, podczas gdy tylko adres URL zasobu znajduje się w łańcuchu. Kiedy NFT jest przekazywany na adres blockchain, otrzymujący portfel kryptowalutowy pobiera zdalny obraz z adresu URL powiązanego z NFT.

Bax dalej wyjaśnił szczegóły techniczne w poście na Medium Convex Labs, że OpenSea pozwala twórcom NFT na dodawanie dodatkowe metadane , które umożliwiają rozszerzenia plików dla stron HTML. Jeśli metadane są przechowywane jako plik json w zdecentralizowanej sieci pamięci masowej, takiej jak IPFS lub na zdalnych scentralizowanych serwerach w chmurze, wtedy OpenSea może pobrać obraz, jak również rejestrator pikseli „niewidzialnego obrazu” i umieścić je na własnym serwerze. W ten sposób, kiedy potencjalny nabywca ogląda NFT na OpenSea, ładuje stronę HTML i pobiera niewidzialny piksel, który ujawnia adres IP użytkownika oraz inne dane, takie jak geolokalizacja, wersja przeglądarki i system operacyjny.

Analityk Alex Lupascu, współzałożyciel usługi węzła prywatności OMNIA Protocol, przeprowadził własne badania z aplikacją mobilną Metamask z podobnymi efektami. Odkrył błąd, który pozwala sprzedawcy na wysłanie NFT do portfela Metamask i uzyskanie adresu IP użytkownika. Wybił własne NFT na OpenSea i przeniósł własność NFT poprzez airdrop do swojego portfela Metamask, dochodząc do wniosku, że znalazł „krytyczną lukę w prywatności”.

Powiązane: Nowa wbudowana funkcja MetaMask – multichain institutional custody

W poście na Medium, Lupascu opisał potencjalne konsekwencje tego, jak „złośliwy aktor może miętosić NFT ze zdalnym obrazem hostowanym na swoim serwerze, a następnie airdrop ten kolekcjonerski do adresu blockchain (ofiary) i uzyskać jego adres IP.” Jego obawa polega na tym, że jeśli atakujący zbierze kolekcję NFT, skieruje wszystkie z nich na jeden adres URL i zrzuci je do milionów portfeli, wówczas może to spowodować rozproszony atak typu denial-of-service na dużą skalę, czyli DDoS. Według Lupascu, wyciek danych osobowych może również prowadzić do porwań.

Zasugerował on również potencjalne rozwiązanie może być wymaganie wyraźnej zgody użytkownika, jeśli chodzi o pobieranie zdalnego obrazu NFT: Metamask lub jakikolwiek inny portfel informowałby użytkownika, że ktoś na OpenSea lub innej giełdzie pobiera zdalny obraz NFT, oraz informowałby użytkownika, że jego adres IP może zostać ujawniony.

Dan Finlay, CEO firmy Metamask, odpowiedział . Lupascu na Twitterze stwierdzając, że mimo iż „problem jest znany od dłuższego czasu”, to teraz rozpoczynają prace nad jego naprawieniem i poprawą bezpieczeństwa i prywatności użytkowników.

Tego samego dnia nawet Vitalik Buterin dostrzegł wyzwania związane z prywatnością off-chain w ramach Web3. W ostatnim odcinku podcastu UpOnly, Buterin powiedział, że „walka o większą prywatność jest ważna. Ludzie nie doceniają ryzyka związanego z brakiem prywatności”, dodając, że im „bardziej wszystko staje się kryptowalutą”, tym bardziej jesteśmy narażeni.