据 Convex Labs 和 OMNIA 协议的研究人员称,OpenSea 和 Metamask 都记录了与传输不可替代令牌 (NFT) 相关的 IP 地址泄漏案例。 NFT 组织 Convex Labs 的研究主管 Nick Bax 测试了 OpenSea 等 NFT 市场如何允许供应商或攻击者获取 IP 地址。 他为辛普森一家和南方公园的交叉图像创建了一个列表,将其命名为“我只需右键单击 + 保存您的 IP 地址”,以证明在查看 NFT 列表时,它会加载自定义代码,记录查看者的 IP 地址并与供应商。
在 Twitter 帖子中,Bax 承认他“不认为我的 OpenSea IP 记录 NFT 是一个漏洞”,因为这只是“它的工作方式”。 重要的是要记住,NFT 的核心是一段可以推送或拉取的软件代码或数字数据。 实际图像或资产存储在远程服务器上是很常见的,而只有资产的 URL 是链上的。 当 NFT 转移到区块链地址时,接收加密钱包从与 NFT 关联的 URL 获取远程图像。 Bax 在 Convex Labs Medium 的一篇文章中进一步解释了技术细节,即 OpenSea 允许 NFT 创建者添加额外的元数据,从而为 HTML 页面启用文件扩展名。 如果元数据以 json 文件的形式存储在分布式存储网络(例如 IPFS)或远程集中式云服务器上,则 OpenSea 可以下载图像以及“不可见图像”像素记录器并将其托管在自己的服务器上。 因此,当潜在买家在 OpenSea 上查看 NFT 时,它会加载 HTML 页面并获取显示用户 IP 地址和其他数据(如地理位置、浏览器版本和操作系统)的不可见像素。 隐私节点服务 OMNIA Protocol 的联合创始人、分析师 Alex Lupascu 对 Metamask 移动应用程序进行了自己的研究,具有类似的效果。 他发现了一项责任,即允许供应商将 NFT 发送到 Metamask 钱包并获取用户的 IP 地址。 他在 OpenSea 上铸造了自己的 NFT,并通过空投将 NFT 的所有权转移到了他的 Metamask 钱包中,并得出结论,发现了一个“严重的隐私漏洞”。
相关:MetaMask 新的内置多链机构托管功能 在一篇 Medium 帖子中,Lupascu 描述了“恶意行为者如何使用托管在其服务器上的远程图像铸造 NFT,然后将该收藏品空投到区块链地址(受害者)并获取他的 IP 地址”的潜在后果。 他担心的是,如果攻击者收集了一组 NFT,将它们全部指向一个 URL 并将它们空投到数百万个钱包,那么它可能会导致大规模的分布式拒绝服务或 DDoS 攻击。 卢帕斯库表示,泄露个人数据也可能导致绑架。 他还建议一个潜在的解决方案可能是在获取 NFT 的远程图像时需要用户的明确同意:Metamask 或任何其他钱包会提示用户 OpenSea 或其他交易所上的某人正在获取 NFT 的远程图像,并且通知用户他或她的 IP 地址可能会被泄露。 Metamask 首席执行官 Dan Finlay 在 Twitter 上回应 Lupascu 表示,尽管“这个问题早已为人所知”,但他们现在开始着手修复它并改善用户安全和隐私。 同一天,甚至 Vitalik Buterin 也意识到了 Web3 中链下隐私的挑战。 在最近的 UpOnly 播客节目中,Buterin 说“争取更多隐私是一项重要的斗争。人们低估了没有隐私的风险”,并补充说“一切都变得越来越加密”,我们暴露得越多。
—- 原文链接:https://cointelegraph.com/news/this-proof-of-concept-nft-can-swipe-unsuspecting-users-ip-addresses 原文作者:Cointelegraph By Ornella Hernández 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
这种概念证明 NFT 可以刷掉毫无戒心的用户的 IP 地址
2022-01-28 wanbizu AI 来源:区块链网络
LOADING...
相关阅读:
- AstroSwap 今天推出 – ASTRO 会再做 200 倍吗?2022-01-28
- 有没有剩余的硬币? 使用这台机器立即将它们转换为比特币2022-01-28
- 来自“比特币法老”的 GAS Consultoria 将提出一项向受害者付款的计划2022-01-27
- 再见DiemFacebook的全球支付梦2022-01-27
- Dvision Network 第二次土地销售将在 OpenSea 及其本地市场上举行 – 新闻稿2022-01-27