Esta prueba de concepto de NFT puede deslizar las direcciones IP de usuarios desprevenidos

Tanto OpenSea como Metamask han registrado casos de fugas de direcciones IP asociadas con la transferencia de tokens no fungibles (NFT), según investigadores de Convex Labs y el protocolo OMNIA.

Nick Bax, jefe de investigación de la organización de NFT Convex Labs, probó cómo los mercados de NFT, como OpenSea, permiten a los proveedores o atacantes recopilar direcciones IP. Creó una lista para una imagen cruzada de los Simpson y South Park, titulada “Acabo de hacer clic con el botón derecho y guardé su dirección IP” para demostrar que cuando se muestra la lista NFT, carga un código personalizado que registra la dirección IP del espectador y lo comparte con el vendedor.

Este NFT registra su dirección IP: https://t.co/hB34JuJLH9

— Nick (Bax.eth) (@bax1337) 24 de enero de 2022

En un hilo de Twitter, Bax admitió que “no considera que mi NFT de registro de IP de OpenSea sea una vulnerabilidad” porque esa es simplemente “la forma en que funciona”. Es importante recordar que los NFT son, en esencia, una pieza de código de software o datos digitales que se pueden empujar o extraer. Es bastante común que la imagen o el recurso real se almacene en un servidor remoto, mientras que solo la URL del recurso está en la cadena. Cuando se transfiere un NFT a una dirección de cadena de bloques, la billetera criptográfica receptora recupera la imagen remota de la URL asociada con el NFT.

Bax también explicó los detalles técnicos en una publicación de Convex Labs Medium de que OpenSea permite a los creadores de NFT agregar metadatos adicionales que permiten extensiones de archivo para páginas HTML. Si los metadatos se almacenan como archivos json en una red de almacenamiento descentralizada, como IPFS o en servidores de nube centralizados remotos, OpenSea puede descargar la imagen y un registrador de píxeles de “imagen invisible” y alojarlos en su propio servidor. Por lo tanto, cuando un comprador potencial ve el NFT en OpenSea, carga la página HTML y recupera el píxel invisible que revela la dirección IP de un usuario y otros datos como la geolocalización, la versión del navegador y el sistema operativo.

El analista Alex Lupascu, cofundador del servicio de nodo de privacidad del Protocolo OMNIA, realizó su propia investigación con la aplicación móvil Metamask con efectos similares. Él…

..
LEER MAS

Recommended For You

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *