Uma falha no sistema da OpenSea permite a execução de códigos arbitrários em NFTs.
Graças a este problema, agentes maliciosos podem roubar dados sigilosos dos compradores de tokens não fungíveis (NFTs) no Opensea, como, por exemplo, seu endereço de IP.
O raciocínio é simples: quando o consumidor faz transações comerciais, ela expõe seus dados pessoais. Em geral, quando é feita uma negociação, compra de token, que depois é vendido, e armazenado o NFT, não ocorre nada.
Preocupado com a privacidade de seus usuários e futuros consumidores, o chefe de pesquisa da organização NFT Convex Labs, Nick Bax, disse em um bate-papo on-line da Motherboard:
“Estamos pesquisando muitos problemas no espaço NFT (com mais foco em fraude) e uma das coisas com as quais estávamos lidando eram diferentes ataques XSS em sites que exibem NFTs, que foi quando percebi que poderíamos fazer o OpenSea carregar páginas HTML”.
NFTs usam código para roubar dados
Para resolver o problema, ele se uniu a uma equipe de engenheiros para investigar o que está ocorrendo.
Uma equipe de engenheiros e Bax estão trabalhando exatamente em cima dos NFTs que são acusados de furtar os IPs dos usuários. Um deles tem a imagem croosover dos Simpsons e South Park. “Eu apenas cliquei com o botão direito do mouse + salvei seu endereço IP”, diz a descrição do NFT no OpenSea.
Não é novidade os sites coletarem e armazenarem informações dos visitantes, uma vez que isso permite que o sistema funcione. A OpenSea, assim como outros locais, também precisa coletar dados para operar, mas eles não são compartilhados com o criador do NFT.
As polêmicas da OpenSea
Essa não é a primeira polêmica em que a OpenSea se envolve. Um tempo atrás houve uma denúncia de que a empresa tinha em sua plataforma uma coleção de NFTs com a temática nazista. Algumas imagens tinham a frase: “Heil Hitler”, além claro, das imagens de Adolph Hitler nas mais diferentes posições.
Outras polêmicas ocorrem na plataforma, uma quando um suposto artista conseguiu vender 8 mil colecionáveis falsos e o criador de uma suposta coleção surrupiou cerca de US$ 2,7 milhões dos seus investidores.
Para completar o rol de escândalos OpenSea, houve uma disputa de autoria pelo Phunky Ape Yacht Club (PAYC). Na duvida a plataforma baniu a coleção, por plagiar os tokens Bored Apes Yacht Club.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
