NFT Alım ve Satımlarında Güvenlik Açığı!

Convex Labs ve OMNIA araştırmacılarına göre kullanıcıların OpenSea ve Metamask'ta gerçekleşen NFT transferlerinde kullanıcılara ait IP adresleri sızdırılmakta.

NFT organizasyonu olan Convex Labs'ın araştırma başkanı olan Nick Bax, saldırganların OpenSea gibi NFT pazar yerlerinde kullanıcıların IP adreslerine nasıl erişim sağladığını gösterdi. İddiasını ispatlamak amacıyla da Simpsons ve South Park görüntülerinden oluşmakta olan bir dizi NFT hazırladı ve NFT'lere ait resimler görüntülendiğinde, listeyi "sağ tıkla + IP adresini kaydet" olarak adlandırdı ve kullanıcının IP adresinin kayıt altına alındığı özel kodun da yüklendiğini gösterdi.

Bax Twitter paylaşımında "OpenSea'da kullanıcıların IP'lerine ulaşılabilmesinin bir güvenlik açığı olmadığını", bu sebepten dolayı "sistemin çalışma şeklinin bu" olduğunu ifade etti. NFT'lerin özünde, gönderilebilen ya da alınabilen bir yazılım kodu veya dijital veri parçası olduğunu unutmamak gerekmekte. Gerçek görüntü veya dijital varlığa ait bilgilerin uzak bir sunucuda depolanması ve sadece dijital varlığa ait URL adresinin zincirde tutulması yaygın bir çalışma şeklidir. Bir NFT, bir blockchain adresine aktarıldığında, alıcının kripto cüzdanı, uzaktan görüntüyü NFT ile ilgili URL'den alır.

Bax, bir Medium gönderisinde OpenSea'nin NFT yaratıcılarına HTML sayfalarında dosya uzantılarını etkinleştiren ek metaverileri (özgün bilgi) eklemesine nasıl izin verdiğini daha teknik ve ayrıntılı bir şekilde ifade etti. Eğer metaveri, IPFS gibi merkeziyetsiz depolama ağı üzerinde ya da uzak bir merkezi bulut sunucusu içerisinde json dosyası olarak depolanıyor ise OpenSea, mevcut görüntüyü ve bunun dışında  “gizli görüntü” yü piksel kaydedicisine indirebilir ve kendi sunucusunda tutabilir. Bu sebeple, NFT'yi almak istemekte olan bir kişi NFT'yi OpenSea'de görüntülediğinde, HTML sayfasını yükler ve bunun sonucunda kullanıcının IP adresini, coğrafi konum bilgisini, tarayıcı sürümünü ve işletim sistemi gibi diğer özel bilgilere erişmiş olur.

Gizlilik hizmeti olan OMNIA protokolünün kurucu ortağı olan analist Alex Lupascu, benzer yönlere sahip olan Metamask mobil uygulamasında da testler gerçekleştirdi. Bir satıcının Metamask cüzdanına NFT göndermesine yani diğer kullanıcının IP adresine ulaşmanın mümkünatının bulunduğunu farketti. OpenSea'de kendi NFT'sini oluşturarak, NFT'yi airdrop yöntemiyle Metamask cüzdanına aktararak benzer bir "kritik gizlilik açığının" Metamask'ta da olduğunu göstermiş oldu.

Lupascu, bir Medium gönderisinde kötü niyetli birinin, kendi sunucusunda bir NFT'yi nasıl basabileceğini ve sonrasında da basılan parçayı bir blockchain adresine (mağdur kişinin) airdrop ile nasıl gönderebileceğini ve mağdur kişinin IP adresini nasıl alabileceğinin detaylarını paylaştı. Lupascu, eğer bir saldırgan bir NFT koleksiyonu toplayıp, hepsini tek bir URL'ye yönlendirir ve bunları milyonlarca cüzdana airdrop olarak gönderir ise bunun büyük ölçekli bir DDoS saldırısına dönüşebileceğini vurguladı. 

Lupascu, bu sorun ile ilgili, NFT'ye ait görüntünün alınması gerektiği durumda kullanıcının bilgilendirilmesi ve açık bir şekilde onayının alınması önerisi yaptı. Öneri şu şekilde: Metamask veya başka herhangi bir cüzdan, kullanıcıya OpenSea üzerinde bulunan ya da başka bir pazar yerinde yer alan, birine ait NFT görüntüsüne ulaşmak istediğinde ve kullanıcının IP adresinin de açığa çıkabileceğini belirtmelidir. 

Metamask'ın CEO'su Dan Finlay, Twitter'da sorun ile alakalı olarak, "sorunun uzun süredir farkında olduklarını", kullanıcı güvenliği ve gizliliğini iyileştirmek amacıyla sorun üzerinde çalışmaya başladıklarını bildirdi.