Convex Labs ve OMNIA araştırmacılarına göre kullanıcıların OpenSea ve Metamask üzerinde yapılan NFT transferlerinde kullanıcılara ait IP adresleri de sızdırılıyor.
NFT organizasyonu Convex Labs araştırma başkanı Nick Bax, saldırganların OpenSea gibi NFT pazar yerlerinde kullanıcıların IP adreslerine nasıl eriştiğini gösterdi. İddiasını ispatlamak için, Simpsons ve South Park görüntülerinden oluşan bir dizi NFT hazırladı ve NFT’lere ait resimler görüntülendiğinde, listeyi “sağ tıkla + IP adresini kaydet” olarak isimlendirdi ve kullanıcının IP adresinin kaydedildiği özel kodun da yüklendiğini gösterdi.
Bax, Twitter gönderisinde “OpenSea’da kullanıcıların IP’lerine ulaşılabilmesinin bir güvenlik açığı olmadığını”, çünkü “sistemin çalışma şeklinin bu” olduğunu belirtti. NFT’lerin özünde, gönderilebilen/alınabilen bir yazılım kodu veya dijital veri parçası olduğunu unutmamak gerekir. Gerçek görüntü veya dijital varlığa ait bilgilerin uzak bir sunucuda depolanması ve sadece dijital varlığa ait URL adresinin zincir içinde tutulması oldukça yaygın bir çalışma şeklidir. Bir NFT, bir blockchain adresine aktarıldığında, alıcının kripto cüzdanı, uzaktan görüntüyü NFT ile ilişkili URL’den alır.
Bax, bir Medium gönderisinde OpenSea’nin NFT yaratıcılarına HTML sayfalarında dosya uzantılarını etkinleştiren ek metaverileri (özgün bilgi) eklemesine nasıl izin verdiğini daha teknik ve ayrıntılı bir şekilde açıkladı. Eğer metaveri, IPFS gibi merkeziyetsiz bir depolama ağında veya uzak bir merkezi bulut sunucusunda json dosyası olarak depolanıyorsa, OpenSea, mevcut görüntüyü ve bunun yanında “gizli görüntü” yü piksel kaydedicisine indirebilir ve kendi sunucusunda barındırabilir. Bu nedenle, NFT’yi satın almak isteyen biri NFT’yi OpenSea’de görüntülediğinde, HTML sayfasını yükler ve bunun sonucunda kullanıcının IP adresini, coğrafi konum bilgisini, tarayıcı sürümünü ve işletim sistemi gibi diğer özel bilgilere erişmiş olur.
Gizlilik hizmeti OMNIA protokolünün kurucu ortağı analist Alex Lupascu, benzer yönlere sahip Metamask mobil uygulamasında da testler gerçekleştirdi. Bir satıcının Metamask cüzdanına NFT göndermesine dolayısıyla diğer kullanıcının IP adresine ulaşmanın mümkün olduğunu farketti. OpenSea’de kendi NFT’sini oluşturarak, NFT’yi airdrop yoluyla Metamask cüzdanına aktararak benzer bir “kritik gizlilik açığının” Metamask’ta da olduğunu göstermiş oldu.
Lupascu, bir Medium gönderisinde “kötü niyetli bir kişinin, kendi sunucusunda bir NFT’yi nasıl basabileceğini ve ardından basılan parçayı bir blockchain adresine (mağdur kişinin) airdropla nasıl gönderebileceğini ve mağdur kişinin IP adresini nasıl alabileceğinin detaylarını paylaştı. Lupascu, eğer bir saldırgan bir NFT koleksiyonu toplayıp, hepsini tek bir URL’ye yönlendirir ve bunları milyonlarca cüzdana airdrop olarak gönderirse, bunun büyük ölçekli bir Dağıtık Hizmet Engelleme (DDoS) saldırısına dönüşebileceğini belirtti.
Lupascu, bu soruna yönelik, NFT’ye ait görüntünün alınması gerektiği durumda kullanıcının bilgilendirilmesi ve açık bir şekilde onayının alınması önerisinde bulundu. Öneri şöyle: Metamask veya başka herhangi bir cüzdan, kullanıcıya OpenSea’deki veya başka bir pazar yerindeki birine ait NFT görüntüsüne ulaşmak istediğinde ve kullanıcının IP adresinin de açığa çıkabileceğini belirtmelidir.
Metamask’ın CEO’su Dan Finlay, Twitter’da sorunla ilgili olarak, “sorunun uzun süredir farkında olduklarını”, kullanıcı güvenliği ve gizliliğini iyileştirmek için sorun üzerinde çalışmaya başladıklarını bildirdi.