यह प्रूफ-ऑफ-कॉन्सेप्ट एनएफटी बिना सोचे-समझे उपयोगकर्ताओं के आईपी पते स्वाइप कर सकता है

Convex Labs और OMNIA प्रोटोकॉल के शोधकर्ताओं के अनुसार, OpenSea और Metamask दोनों ने गैर-कवकीय टोकन (NFTs) को स्थानांतरित करने से जुड़े IP पता लीक के मामले दर्ज किए हैं।

NFT संगठन Convex Labs के शोध प्रमुख निक बैक्स ने परीक्षण किया कि कैसे OpenSea जैसे NFT बाज़ार विक्रेताओं या हमलावरों को IP पते प्राप्त करने की अनुमति देते हैं। उन्होंने सिम्पसन्स और साउथ पार्क क्रॉसओवर छवि के लिए एक सूची बनाई, यह साबित करने के लिए कि जब एनएफटी सूची देखी जाती है, तो यह कस्टम कोड लोड करता है जो दर्शक के आईपी पते को लॉग करता है और इसे साझा करता है। विक्रेता।

एक ट्विटर थ्रेड में, बैक्स ने स्वीकार किया कि वह “मेरे ओपनसी आईपी लॉगिंग एनएफटी को एक भेद्यता नहीं मानता” क्योंकि यह बस “जिस तरह से काम करता है।” यह याद रखना महत्वपूर्ण है कि एनएफटी, उनके मूल में, सॉफ्टवेयर कोड या डिजिटल डेटा का एक टुकड़ा है जिसे धकेला या खींचा जा सकता है। वास्तविक छवि या संपत्ति को दूरस्थ सर्वर पर संग्रहीत करना काफी सामान्य है, जबकि केवल संपत्ति का URL ऑन-चेन है। जब एक एनएफटी को एक ब्लॉकचेन पते पर स्थानांतरित किया जाता है, तो प्राप्त करने वाला क्रिप्टो वॉलेट एनएफटी से जुड़े यूआरएल से दूरस्थ छवि प्राप्त करता है।

बैक्स ने कॉनवेक्स लैब्स मीडियम पोस्ट में तकनीकी विवरण के बारे में बताया कि ओपनसी एनएफटी रचनाकारों को अतिरिक्त मेटाडेटा जोड़ने की अनुमति देता है जो HTML पृष्ठों के लिए फ़ाइल एक्सटेंशन को सक्षम करता है। यदि मेटाडेटा को एक विकेंद्रीकृत भंडारण नेटवर्क, जैसे आईपीएफएस या दूरस्थ केंद्रीकृत क्लाउड सर्वर पर एक जेसन फ़ाइल के रूप में संग्रहीत किया जाता है, तो ओपनसी छवि के साथ-साथ “अदृश्य छवि” पिक्सेल लॉगर डाउनलोड कर सकता है और इसे अपने सर्वर पर होस्ट कर सकता है। इस प्रकार, जब एक संभावित खरीदार ओपनसी पर एनएफटी देखता है, तो यह एचटीएमएल पेज लोड करता है और अदृश्य पिक्सेल प्राप्त करता है जो उपयोगकर्ता के आईपी पते और भौगोलिक स्थान, ब्राउज़र संस्करण और ऑपरेटिंग सिस्टम जैसे अन्य डेटा को प्रकट करता है।

गोपनीयता नोड सेवा OMNIA प्रोटोकॉल के सह-संस्थापक विश्लेषक एलेक्स लुपास्कु ने इसी तरह के प्रभावों के साथ मेटामास्क मोबाइल ऐप के साथ अपना शोध किया। उन्होंने एक दायित्व की खोज की जो एक विक्रेता को मेटामास्क वॉलेट में एक एनएफटी भेजने और उपयोगकर्ता का आईपी पता प्राप्त करने की अनुमति देता है। उन्होंने OpenSea पर अपने स्वयं के NFT का खनन किया और NFT के स्वामित्व को एयरड्रॉप के माध्यम से अपने Metamask वॉलेट में स्थानांतरित कर दिया, और “महत्वपूर्ण गोपनीयता भेद्यता” खोजने का निष्कर्ष निकाला।

एक मध्यम पोस्ट में, लुपास्कु ने संभावित परिणामों का वर्णन किया कि कैसे एक “दुर्भावनापूर्ण अभिनेता अपने सर्वर पर होस्ट की गई दूरस्थ छवि के साथ एक एनएफटी टकसाल कर सकता है, फिर इस संग्रहणीय को एक ब्लॉकचेन पते (पीड़ित) को एयरड्रॉप कर सकता है और अपना आईपी पता प्राप्त कर सकता है।” उनकी चिंता यह है कि यदि कोई हमलावर एनएफटी का संग्रह एकत्र करता है, उन सभी को एक ही यूआरएल पर इंगित करता है और उन्हें लाखों वॉलेट में भेजता है, तो इसका परिणाम बड़े पैमाने पर वितरित इनकार-की-सेवा, या डीडीओएस हमले में हो सकता है। लुपास्कु के अनुसार, व्यक्तिगत डेटा लीक होने से अपहरण भी हो सकता है।

उन्होंने यह भी सुझाव दिया कि एनएफटी की दूरस्थ छवि लाने के लिए एक संभावित समाधान के लिए स्पष्ट उपयोगकर्ता सहमति की आवश्यकता हो सकती है: मेटामास्क या कोई अन्य वॉलेट उपयोगकर्ता को संकेत देगा कि ओपनसी या किसी अन्य एक्सचेंज पर कोई व्यक्ति एनएफटी की दूरस्थ छवि प्राप्त कर रहा है, और उपयोगकर्ता को सूचित करना कि उसका आईपी पता उजागर हो सकता है।

मेटामास्क के सीईओ डैन फिनले ने ट्विटर पर लुपास्कु को जवाब देते हुए कहा कि भले ही “समस्या को लंबे समय से जाना जाता है,” वे अब इसे ठीक करने और उपयोगकर्ता सुरक्षा और गोपनीयता में सुधार करने के लिए काम शुरू कर रहे हैं।

उसी दिन, विटालिक ब्यूटिरिन ने भी Web3 के भीतर ऑफ-चेन गोपनीयता की चुनौतियों को पहचाना। हाल ही में अपऑनली पॉडकास्ट एपिसोड पर, Buterin ने कहा कि “अधिक गोपनीयता के लिए लड़ाई एक महत्वपूर्ण है। लोग गोपनीयता के जोखिम को कम करके आंक रहे हैं,” यह कहते हुए कि “अधिक क्रिप्टो-वाई सब कुछ बन जाता है,” हम और अधिक उजागर होते हैं।