Hóa ra là một số NFT có thể đang xây dựng các bộ sưu tập của riêng họ. Mục tiêu của họ? Dữ liệu cá nhân của bạn.
Tin tức
Theo các nhà nghiên cứu tại Convex Labs và giao thức OMNIA, cả OpenSea và Metamask đều đã ghi lại các trường hợp rò rỉ địa chỉ IP liên quan đến việc chuyển giao NFT.
Nick Bax, người đứng đầu nghiên cứu của tổ chức NFT Convex Labs đã thử nghiệm cách các thị trường NFT như OpenSea cho phép các nhà cung cấp hoặc kẻ tấn công thu thập địa chỉ IP. Anh ấy đã tạo một danh sách cho hình ảnh giao nhau giữa Simpsons và South Park, cho phép nó “Tôi chỉ cần nhấp chuột phải + lưu địa chỉ IP của bạn” để chứng minh rằng khi danh sách NFT được xem, nó sẽ tải mã tùy chỉnh ghi lại địa chỉ IP của người xem và chia sẻ nó với nhà cung cấp.
NFT này ghi lại địa chỉ IP của bạn:https://t.co/hB34JuJLH9
– bax.eth (@ bax1337) 24 tháng 1 năm 2022
Trong một chủ đề Twitter, Bax thừa nhận rằng anh ta “không coi NFT ghi nhật ký IP OpenSea của tôi là một lỗ hổng bảo mật” vì đó chỉ đơn giản là “cách nó hoạt động.” Điều quan trọng cần nhớ là NFTs cốt lõi là một đoạn mã phần mềm hoặc dữ liệu kỹ thuật số có thể được đẩy hoặc kéo. Việc hình ảnh hoặc nội dung thực tế được lưu trữ trên máy chủ từ xa là điều khá phổ biến, trong khi chỉ có URL của nội dung là trên chuỗi. Khi một NFT được chuyển đến một địa chỉ blockchain, ví tiền điện tử nhận sẽ tìm nạp hình ảnh từ xa từ URL được liên kết với NFT.
Bax hơn nữa giải thích các chi tiết kỹ thuật trong Phòng thí nghiệm Convex Medium bài đăng mà OpenSea cho phép người tạo NFT thêm siêu dữ liệu bổ sung cho phép mở rộng tệp cho các trang HTML. Nếu siêu dữ liệu được lưu trữ dưới dạng tệp json trên mạng lưu trữ phi tập trung như IPFS hoặc trên các máy chủ đám mây tập trung từ xa, thì OpenSea có thể tải xuống hình ảnh cũng như trình ghi pixel “hình ảnh vô hình” và lưu trữ trên máy chủ của chính nó. Vì vậy, khi một người mua tiềm năng xem NFT trên OpenSea, nó sẽ tải trang HTML và tìm nạp pixel ẩn hiển thị địa chỉ IP của người dùng và các dữ liệu khác như vị trí địa lý, phiên bản trình duyệt và hệ điều hành.
Nhà phân tích Alex Lupascu, người đồng sáng lập dịch vụ nút quyền riêng tư OMNIA Protocol, đã thực hiện nghiên cứu của riêng mình với ứng dụng di động Metamask với những tác dụng tương tự. Anh ta đã phát hiện ra một trách nhiệm pháp lý cho phép nhà cung cấp gửi NFT đến ví Metamask và lấy địa chỉ IP của người dùng. Anh ấy đã đúc NFT của riêng mình trên OpenSea và chuyển quyền sở hữu NFT qua airdrop sang ví Metamask của mình, và kết luận đã tìm thấy một “lỗ hổng bảo mật nghiêm trọng.
Nhóm của tôi và tôi đã phát hiện ra một quyền riêng tư quan trọng #vulnerability phổ biến nhất #crypto #cái ví.
Bạn có đang sử dụng MetaMask không?
Chà, tôi có tin xấu cho bạn – của bạn #sự riêng tư có nguy cơ!@samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G– Alex Lupascu (@alxlpsc) 20 tháng 1 năm 2022
Liên quan: Tính năng lưu ký thể chế đa dạng tích hợp sẵn mới của MetaMask
Trong một Medium đăng, Lupascu đã mô tả hậu quả tiềm ẩn của việc một “kẻ độc hại có thể tạo ra một NFT với hình ảnh từ xa được lưu trữ trên máy chủ của anh ta, sau đó phát tán bộ sưu tập này đến một địa chỉ blockchain (nạn nhân) và lấy địa chỉ IP của anh ta.” Mối quan tâm của ông là nếu kẻ tấn công thu thập một bộ sưu tập các NFT, trỏ tất cả chúng đến một URL duy nhất và chuyển chúng tới hàng triệu ví, thì điều đó có thể dẫn đến một cuộc tấn công từ chối dịch vụ phân tán hoặc DDoS quy mô lớn. Theo Lupascu, việc dữ liệu cá nhân bị rò rỉ cũng có thể dẫn đến việc bị lừa.
Ông cũng đề xuất một giải pháp tiềm năng có thể yêu cầu sự đồng ý rõ ràng của người dùng khi tìm nạp hình ảnh từ xa của NFT: Metamask hoặc bất kỳ ví nào khác sẽ nhắc người dùng rằng ai đó trên OpenSea hoặc một sàn giao dịch khác đang tìm nạp hình ảnh từ xa của NFT và thông báo cho người dùng rằng địa chỉ IP của họ có thể bị lộ.
Dan Finlay, Giám đốc điều hành của Metamask, đã trả lời cho Lupascu trên Twitter nói rằng mặc dù “vấn đề đã được biết đến từ lâu”, họ hiện đang bắt đầu công việc để khắc phục nó và cải thiện sự an toàn và quyền riêng tư của người dùng.
Cùng ngày hôm đó, ngay cả Vitalik Buterin cũng nhận ra những thách thức về quyền riêng tư ngoài chuỗi trong Web3. Trên một tập podcast UpOnly gần đây, Buterin nói rằng “cuộc chiến giành quyền riêng tư hơn là một điều quan trọng. Mọi người đang đánh giá thấp những rủi ro của việc không có quyền riêng tư”, nói thêm rằng “mọi thứ càng trở nên tiền điện tử hơn”, chúng ta càng tiếp xúc nhiều hơn.
