区块链产业
中国区块链新闻网讯,无许可跨链燃烧协议BlackHoleProtocol获得GateLabs、MXCLabs、红链资本、心跳加速...
区块链投资
中国区块链新闻网讯,社交网络平台BitClout创始人Diamondhands在发给Coindesk的邮件中披露了一份BitClou...
概念验证 NFT 可以刷掉毫无戒心的用户的 IP 地址
发布时间:2022/01/30 区块链应用 浏览:174
最近,据ConvexLabs和OMNIA协议的研究人员称,OpenSea和Metamask都记录了与传输不可替代令牌(NFT)相关的IP地址泄漏案例。
NFT组织ConvexLabs的研究主管NickBax测试了OpenSea等NFT市场如何允许供应商或攻击者获取IP地址。他为辛普森一家和南方公园的交叉图像创建了一个列表,将其命名为“我只需右键单击+保存您的IP地址”,以证明在查看NFT列表时,它会加载记录查看者IP地址并与他人共享的自定义代码供应商。
在Twitter帖子中,Bax承认他“不认为我的OpenSeaIP记录NFT是一个漏洞”,因为这只是“它的工作方式”。重要的是要记住,NFT的核心是一段可以推送或拉取的软件代码或数字数据。实际图像或资产存储在远程服务器上是很常见的,而只有资产的URL是链上的。当NFT转移到区块链地址时,接收加密钱包从与NFT关联的URL获取远程图像。
Bax在ConvexLabsMedium的一篇文章中进一步解释了技术细节,即OpenSea允许NFT创建者添加额外的元数据,从而为HTML页面启用文件扩展名。如果元数据以json文件的形式存储在分布式存储网络上,例如IPFS或远程集中式云服务器上,那么OpenSea可以下载图像以及“不可见图像”像素记录器并将其托管在自己的服务器上。因此,当潜在买家在OpenSea上查看NFT时,它会加载HTML页面并获取显示用户IP地址和其他数据(如地理位置、浏览器版本和操作系统)的不可见像素。
隐私节点服务OMNIAProtocol的联合创始人、分析师AlexLupascu对Metamask移动应用程序进行了自己的研究,具有类似的效果。他发现了一项责任,即允许供应商将NFT发送到Metamask钱包并获取用户的IP地址。他在OpenSea上铸造了自己的NFT,并通过空投将NFT的所有权转移到了他的Metamask钱包中,并得出结论,发现了一个“严重的隐私漏洞”。
在一篇Medium帖子中,Lupascu描述了“恶意行为者如何使用托管在其服务器上的远程图像铸造NFT,然后将这个收藏品空投到区块链地址(受害者)并获取他的IP地址”的潜在后果。他担心的是,如果攻击者收集了一组NFT,将它们全部指向一个URL并将它们空投到数百万个钱包,那么它可能会导致大规模的分布式拒绝服务或DDoS攻击。卢帕斯库表示,泄露个人数据也可能导致绑架。
他还建议一个潜在的解决方案可能是在获取NFT的远程图像时需要用户的明确同意:Metamask或任何其他钱包会提示用户OpenSea或其他交易所上的某人正在获取NFT的远程图像,并且通知用户他或她的IP地址可能会被泄露。
Metamask首席执行官DanFinlay在Twitter上回应Lupascu表示,尽管“这个问题早已为人所知”,但他们现在开始着手修复它并改善用户安全和隐私。
同一天,甚至VitalikButerin也意识到了Web3中链下隐私的挑战。在最近的UpOnly播客节目中,Buterin说“争取更多隐私是一项重要的斗争。人们低估了没有隐私的风险”,并补充说“一切都变得越来越加密”,我们暴露得越多。