Tanto OpenSea como Metamask han registrado casos de filtraciones de direcciones IP asociadas a la transferencia de NFT, según los investigadores de Convex Labs y OMNIA Protocol.

Nick Bax, jefe de investigación de la organización de NFT, Convex Labs, probó cómo los mercados de NFT como OpenSea permiten a los vendedores o a los atacantes recopilar direcciones IP. Creó un anuncio de una imagen con el estilo de Los Simpsons y South Park, con el título “I just right click + saved your IP address” para demostrar que cuando se ve el anuncio de NFT, se carga un código personalizado que registra la dirección IP del visitante y la comparte con el vendedor.

En un hilo de Twitter, Bax admitió que “no considera que mi NFT de registro de IP de OpenSea sea una vulnerabilidad” porque simplemente es “la forma en que funciona”. Es importante recordar que los NFT son, en esencia, una pieza de código de software o datos digitales que pueden ser incrustados o extraídos. Es bastante común que la imagen o el activo real se almacene en un servidor remoto, mientras que sólo la URL del activo esté on-chain. Cuando se transfiere un NFT a una dirección de la cadena de bloques, la billetera que lo recibe obtiene la imagen remota de la URL asociada al NFT.

Bax explicó además los detalles técnicos en una publicación de Convex Labs en Medium, donde dice que OpenSea permite a los creadores de NFT añadir metadatos adicionales que habilitan las extensiones de archivo para las páginas HTML. Si los metadatos se almacenan como un archivo json en una red de almacenamiento descentralizado como IPFS o en servidores remotos centralizados en la nube, entonces OpenSea puede descargar la imagen así como un registrador de píxeles de “imagen invisible” y alojarla en su propio servidor. Así, cuando un potencial comprador ve el NFT en OpenSea, carga la página HTML y obtiene el píxel invisible que revela la dirección IP del usuario y otros datos como la ubicación geográfica, la versión del navegador y el sistema operativo.

El analista Alex Lupascu, cofundador del servicio de nodo de privacidad OMNIA Protocol, realizó su propia investigación con la aplicación móvil Metamask con efectos similares. Descubrió una vulnerabilidad que permite a un vendedor enviar un NFT a una billetera de Metamask y obtener la dirección IP de un usuario. Acuñó su propio NFT en OpenSea y transfirió la propiedad del NFT mediante un airdop a billetera de Metamask, y concluyó encontrando una “vulnerabilidad crítica de la privacidad”.

En una publicación de Medium, Lupascu describió las posibles consecuencias de cómo un “actor malicioso puede acuñar un NFT con la imagen remota alojada en su servidor, y luego enviar este coleccionable a una dirección de blockchain (víctima) y obtener su dirección IP”. Su preocupación es que si un atacante reúne una colección de NFT, apunta todos ellos a una única URL y los envía a millones de monederos, entonces podría dar lugar a un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) a gran escala. Según Lupascu, la filtración de datos personales también puede dar lugar a un secuestro.

También sugirió que una posible solución podría ser exigir el consentimiento explícito del usuario a la hora de obtener la imagen remota del NFT: Metamask o cualquier otra billetera avisaría al usuario de que alguien de OpenSea u otro mercado está obteniendo la imagen remota del NFT, e informaría al usuario de que su dirección IP puede quedar expuesta.

Dan Finlay, CEO de Metamask, respondió a Lupascu en Twitter afirmando que, aunque “el problema se conoce desde hace tiempo”, ahora están empezando a trabajar para solucionarlo y mejorar la seguridad y la privacidad de los usuarios.

Ese mismo día, incluso Vitalik Buterin reconoció los desafíos en torno a la privacidad off-chain dentro de la Web 3.0. En un reciente episodio del podcast UpOnly, Buterin dijo que “la lucha por más privacidad es importante. La gente subestima los riesgos de no tener privacidad”, y añadió que cuanto “más cripto se vuelve todo”, más expuestos estamos.

Sigue leyendo:

Ver noticia original en Cointelegraph