概念验证 NFT 可以刷掉毫无戒心的用户的 IP 地址

最近，据ConvexLabs和OMNIA协议的研究人员称，OpenSea和Metamask都记录了与传输不可替代令牌(NFT)相关的IP地址泄漏案例。

NFT组织ConvexLabs的研究主管NickBax测试了OpenSea等NFT市场如何允许供应商或攻击者获取IP地址。他为辛普森一家和南方公园的交叉图像创建了一个列表，将其命名为“我只需右键单击+保存您的IP地址”，以证明在查看NFT列表时，它会加载记录查看者IP地址并与他人共享的自定义代码供应商。

在Twitter帖子中，Bax承认他“不认为我的OpenSeaIP记录NFT是一个漏洞”，因为这只是“它的工作方式”。重要的是要记住，NFT的核心是一段可以推送或拉取的软件代码或数字数据。实际图像或资产存储在远程服务器上是很常见的，而只有资产的URL是链上的。当NFT转移到区块链地址时，接收加密钱包从与NFT关联的URL获取远程图像。

Bax在ConvexLabsMedium的一篇文章中进一步解释了技术细节，即OpenSea允许NFT创建者添加额外的元数据，从而为HTML页面启用文件扩展名。如果元数据以json文件的形式存储在分布式存储网络上，例如IPFS或远程集中式云服务器上，那么OpenSea可以下载图像以及“不可见图像”像素记录器并将其托管在自己的服务器上。因此，当潜在买家在OpenSea上查看NFT时，它会加载HTML页面并获取显示用户IP地址和其他数据（如地理位置、浏览器版本和操作系统）的不可见像素。

隐私节点服务OMNIAProtocol的联合创始人、分析师AlexLupascu对Metamask移动应用程序进行了自己的研究，具有类似的效果。他发现了一项责任，即允许供应商将NFT发送到Metamask钱包并获取用户的IP地址。他在OpenSea上铸造了自己的NFT，并通过空投将NFT的所有权转移到了他的Metamask钱包中，并得出结论，发现了一个“严重的隐私漏洞”。

在一篇Medium帖子中，Lupascu描述了“恶意行为者如何使用托管在其服务器上的远程图像铸造NFT，然后将这个收藏品空投到区块链地址（受害者）并获取他的IP地址”的潜在后果。他担心的是，如果攻击者收集了一组NFT，将它们全部指向一个URL并将它们空投到数百万个钱包，那么它可能会导致大规模的分布式拒绝服务或DDoS攻击。卢帕斯库表示，泄露个人数据也可能导致绑架。

他还建议一个潜在的解决方案可能是在获取NFT的远程图像时需要用户的明确同意：Metamask或任何其他钱包会提示用户OpenSea或其他交易所上的某人正在获取NFT的远程图像，并且通知用户他或她的IP地址可能会被泄露。

Metamask首席执行官DanFinlay在Twitter上回应Lupascu表示，尽管“这个问题早已为人所知”，但他们现在开始着手修复它并改善用户安全和隐私。

同一天，甚至VitalikButerin也意识到了Web3中链下隐私的挑战。在最近的UpOnly播客节目中，Buterin说“争取更多隐私是一项重要的斗争。人们低估了没有隐私的风险”，并补充说“一切都变得越来越加密”，我们暴露得越多。