Certains NFT peuvent suivre votre IP : voici comment.
Au milieu de toutes les escroqueries et des problèmes techniques, OpenSea est à nouveau dans le collimateur des utilisateurs car certains NFTs envoient des adresses IP à leurs créateurs lorsqu’ils sont simplement consultés. Si vous pensez qu’ils ne peuvent pas faire cela, malheureusement, ils le peuvent. Puisque OpenSea permet aux créateurs de NFT d’ajouter des métadonnées à la liste des NFT, qui accepte même le format en langage HTML.
Que peut-il se passer si les NFT suivent votre IP ?
En gros, le problème est qu’OpenSea permet aux vendeurs de NFT d’ajouter une « animation_url » aux métadonnées du NFT. Nick Bax, responsable de la recherche chez Convex Labs, a déclaré : « Nous avons étudié de nombreux problèmes dans le domaine des NFT (en nous concentrant davantage sur la fraude) et l’une des choses avec lesquelles nous nous sommes amusés était différentes attaques XSS sur les sites Web qui affichent des NFT. C’est alors que j’ai réalisé que nous pouvions faire en sorte qu’OpenSea charge des pages HTML ».
Son équipe d’ingénieurs travaille sur plusieurs NFT qui récoltent les IP des clients, comme le NFT d’images croisées The Simpsons et South Park. « J’ai juste fait un clic droit + enregistré votre adresse IP », peut-on lire dans la description du NFT sur OpenSea. De plus, un enregistreur d’IP est également présent dans le HTML qui enregistre chaque adresse IP ainsi que le nombre total de visiteurs qui se sont connectés.
On pourrait s’interroger sur le fait que les sites web collectent des adresses IP tout le temps ; même OpenSea lui-même récolte les IP des utilisateurs. Mais ici, une partie extérieure inconnue – un vendeur de NFT – peut recueillir des informations à notre insu. Bien sûr, il peut s’agir ou non d’attaquants. Mais s’ils le sont, ils peuvent utiliser nos adresses IP à des fins malveillantes.
Tout d’abord, les attaquants peuvent déterminer l’emplacement du parcours de l’observateur. Deuxièmement, ils peuvent utiliser cette information pour trouver d’autres détails tels que les noms réels ou les adresses physiques. Certains attaquants peuvent même pirater des données financières.
Bien que, jusqu’à présent, personne n’ait soulevé le problème d’une quelconque attaque ou d’un quelconque préjudice.