Laut Forschern von Convex Labs und dem OMNIA-Protokoll haben sowohl OpenSea als auch Metamask Fälle von IP-Adresslecks im Zusammenhang mit der Übertragung von nicht fungiblen Token (NFTs) protokolliert.
Nick Bax, Forschungsleiter bei der NFT-Organisation Convex Labs, testete, wie NFT-Marktplätze wie OpenSea es Anbietern oder Angreifern ermöglichen, IP-Adressen zu stehlen. Er erstellte eine Auflistung für ein Crossover-Bild von Simpsons und South Park mit dem Titel „Ich habe gerade mit der rechten Maustaste geklickt und Ihre IP-Adresse gespeichert“, um zu beweisen, dass beim Anzeigen der NFT-Liste benutzerdefinierter Code geladen wird, der die IP-Adresse des Betrachters protokolliert und mit teilt der Anbieter.
Dieses NFT protokolliert Ihre IP-Adresse:https://t.co/hB34JuJLH9
— Nick (Bax.eth) (@bax1337) 24. Januar 2022
In einem Twitter-Thread gab Bax zu, dass er “mein OpenSea-IP-Logging-NFT nicht als Schwachstelle betrachtet”, weil das einfach “so funktioniert”. Es ist wichtig, sich daran zu erinnern, dass NFTs im Kern ein Stück Softwarecode oder digitale Daten sind, die gepusht oder gezogen werden können. Es ist durchaus üblich, dass das eigentliche Bild oder Asset auf einem Remote-Server gespeichert wird, während sich nur die URL des Assets in der Kette befindet. Wenn ein NFT an eine Blockchain-Adresse übertragen wird, ruft die empfangende Krypto-Brieftasche das Remote-Bild von der mit dem NFT verknüpften URL ab.
Bax weiter erklärt die technischen Details in einem Convex Labs Medium-Beitrag, dass OpenSea NFT-Erstellern erlaubt, zusätzliche Metadaten hinzuzufügen, die ermöglicht Dateierweiterungen für HTML-Seiten. Wenn die Metadaten als JSON-Datei in einem dezentralen Speichernetzwerk wie IPFS oder auf entfernten zentralisierten Cloud-Servern gespeichert sind, kann OpenSea das Bild sowie einen „unsichtbaren Bild“-Pixellogger herunterladen und auf seinem eigenen Server hosten. Wenn also ein potenzieller Käufer das NFT auf OpenSea ansieht, lädt es die HTML-Seite und ruft das unsichtbare Pixel ab, das die IP-Adresse eines Benutzers und andere Daten wie Geolokalisierung, Browserversion und Betriebssystem preisgibt.
Analyst Alex Lupascu, Mitbegründer des Datenschutzknotendienstes OMNIA Protocol, führte seine eigene Forschung mit der mobilen Metamask-App mit ähnlichen Effekten durch. Er entdeckte eine Haftung, die es einem Anbieter ermöglicht, eine NFT an eine Metamask-Wallet zu senden und die IP-Adresse eines Benutzers zu erhalten. Er prägte seine eigene NFT auf OpenSea und übertrug das Eigentum an der NFT per Airdrop auf seine Metamask-Brieftasche und kam zu dem Schluss, eine „kritische Datenschutzlücke“ zu finden.
Mein Team und ich entdeckten eine kritische Privatsphäre #Verletzlichkeit in den beliebtesten #Krypto #Brieftasche.
Benutzt du Meta Mask?
Nun, ich habe schlechte Nachrichten für Sie – Ihre #Privatsphäre ist gefährdet!@samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G– Alex Lupascu (@alxlpsc) 20. Januar 2022
Siehe auch: MetaMasks neue integrierte Multichain-Funktion für die institutionelle Verwahrung
In einem Medium-Beitrag beschrieb Lupascu die möglichen Konsequenzen, wie ein „böswilliger Akteur eine NFT mit dem auf seinem Server gehosteten Remote-Image prägen, dieses Sammlerstück dann per Airdrop an eine Blockchain-Adresse (Opfer) abwerfen und seine IP-Adresse erhalten kann“. Seine Befürchtung ist, dass, wenn ein Angreifer eine Sammlung von NFTs sammelt, sie alle auf eine einzige URL verweist und sie an Millionen von Wallets ablegt, dies zu einem groß angelegten verteilten Denial-of-Service- oder DDoS-Angriff führen könnte. Das Durchsickern persönlicher Daten kann laut Lupascu auch zu Entführungen führen.
Er schlug auch vor, dass eine mögliche Lösung die ausdrückliche Zustimmung des Benutzers erfordern könnte, wenn es darum geht, das Remote-Image des NFT abzurufen: Metamask oder eine andere Brieftasche würde den Benutzer auffordern, dass jemand auf OpenSea oder einer anderen Börse das Remote-Image des NFT abruft, und den Benutzer darüber informieren, dass seine IP-Adresse offengelegt werden kann.
Dan Finlay, CEO von Metamask, antwortete an Lupascu auf Twitter und erklärt, dass, obwohl „das Problem schon lange bekannt ist“, sie jetzt mit der Arbeit beginnen, um es zu beheben und die Sicherheit und Privatsphäre der Benutzer zu verbessern.
Am selben Tag erkannte sogar Vitalik Buterin die Herausforderungen des Off-Chain-Datenschutzes innerhalb von Web3. In einer kürzlich erschienenen UpOnly-Podcast-Episode sagte Buterin, dass „der Kampf für mehr Privatsphäre ein wichtiger ist. Die Menschen unterschätzen die Risiken ohne Privatsphäre“, und fügte hinzu, dass wir umso exponierter seien, je „kryptolastiger alles wird“.