Mittefungible token (NFT) turg on õitsenud alates 2021. aasta suvest ja kuna NFT hinnad tõusid hüppeliselt, kasvas ka NFT-dele suunatud häkkimiste arv.
Viimane kõrgetasemeline häkkimine tõmbas umbes 600 eetrit (ETH) väärtuses DeFiance Capitali asutaja Arthur0xi NFT-sid, mis seejärel OpenSeas müüdi.
Chainalysise avaldatud 2022. aasta krüptokuritegevuse aruanne tõi esile, et NFT-turgudele ebaseaduslike aadresside kaudu saadetud väärtus hüppas 2021. aastal märkimisväärselt, ulatudes veidi alla 1.4 miljoni dollarini. Samuti kasvas selgelt NFT-turgudele saadetud varastatud raha hulk.
Arvestades NFT platvormidele voolava illegaalse väärtuse kiiret kasvu, on loomulik küsida, kas turvameetmed ja protseduurid on paigas ja kui on, siis kas need meetmed on omanike kaitsmisel tõhusad.
Heidame pilgu suurimale NFT-platvormile OpenSeale ja selle turvameetmetele.
OpenSea turvameetmed ei saa kasutajaid kaitsta
OpenSeal on kaks peamist turvameedet, mis rakenduvad pärast konto häkkimist – ohustatud konto lukustamine ja varastatud NFT-de blokeerimine. Need kaks meedet on neid tähelepanelikult vaadeldes väga ebaefektiivsed.
Konto lukustamist saab teha OpenSea veebisaidil ilma inimese nõusolekuta näidatud siin, samas kui NFT-de blokeerimine hõlmab pikaajalist pileti tõstmise protsessi ja OpenSea abimeeskonna vastuse ootamist.
Olukorras, kus häkker on rahakoti juba ohustanud ja tegeleb NFT-de väljakandmisega, on konto lukustamine tõhus ainult siis, kui seda tehakse enne, kui häkker kõik välja kannab.
Samamoodi on NFT-de blokeerimine tõhus ainult enne, kui häkker müüb NFT-d teisele ostjale. Veelgi hullem on see, et see turvameede tekitab rea kaudseid ohvreid, kes saavad blokeeritud NFT-d, mida ei saa müüa ega üle kanda. Seda seetõttu, et OpenSeas kogutud piletite reageerimisaeg on vähemalt üks päev. Selleks ajaks, kui OpenSea NFT-d blokeerib, oleks need juba müüdud teisele ostjale, kellest saab nüüd kuriteo uus ohver.
Arthur17xilt varastatud 0 Azuki puhul varastati 15 sama minuti jooksul ja kaks kolm minutit hiljem. Keskmine aeg, mil need varastatud NFT-d häkkeri rahakotis enne müüki jäid, on 43 minutit. OpenSea turvameetmed ei ole kuidagi reageerivad ja piisavalt kiired, et ohvrit teavitada ja häkkerit peatada; samuti ei saa nad ostjaid piisavalt kiiresti teavitada, et takistada neil varastatud NFT-de ostmist ja kaudsete ohvrite saamist.
Varastatud NFT-de blokeerimine loob kaudseid ohvreid
Kaudne ohver on keegi, kes ei ole häkkimise sihtmärk, kuid kes kannatab kaudselt varastatud NFT-de blokeerimisest põhjustatud rahalise kahju all. Nagu paljudest hiljutistest NFT-häkkidest näha, müüakse NFT-d alati enne, kui OpenSea ploki juurutab. NFT-de liiga hilja blokeerimise tagajärg on kaudsete ohvrite ja rohkemate inimeste jaoks rohkem kahju tekitamine.
Et illustreerida üksikasjalikumalt, kuidas keegi võib varastatud NFT-d osta ja saada kaudseks häkkimise ohvriks, on siin kolm levinud juhtumit:
Case 1: Alice ostis NFT, kuid sai alles hiljem teada, et see on varastatud vara. NFT on blokeeritud ja Alice ei saa seda OpenSeas müüa ega üle kanda. Seejärel jätkab ta toetuspileti tõstmisega. Mõne nädala pärast pakub OpenSea Trust & Safety meeskond 2.5% platvormitasude tagastamist; ja võib-olla ka selle ohvri meiliaadress, kes õnne korral vargusest teatas. Seejärel peab ta tõenäoliselt ohvriga pika arutelu, et arutada ploki tõstmise võimalust, mis tõenäoliselt ei jõua kuhugi.
Alice võib endiselt müüa NFT-d teistel turgudel, kuid selle konkreetse kollektsiooni müügimaht on väga väike ja pole ostjat, kes suudaks pakkuda õiglast hinda muudel platvormidel peale OpenSea.
Case 2: Alice tegi kollektsiooni NFT-dele pakkumisi tehes mitu pakkumist. Häkker võttis ühe pakkumise vastu, sai seejärel ohvri rahakotti pakkumisest saadud makse ja asus rahakotti tühjendama. NFT blokeeriti hiljem osana ohvri volitamata tehingutest varastatud varadest.
Sellised juhtumid juhtuvad sageli seetõttu, et loetletud NFT-sid ei saa üle kanda enne, kui kirjet ei tühistata. Häkker, kes on ajasurve all, võtab tõenäolisemalt pakkumispakkumise vastu ning saab müügist saadava tulu ja kannab raha välja. Allolev juhtum näitab, kuidas OpenSea blokeeris ilma selgitusteta kaudse ohvri kogu NFT-kogu.
Siin on minu lõim selle kohta, kuidas @opensea blokeerisin põhjendamatult mu konto ja külmutasin kõik mu NFT-d pärast minu pakkumist 40 weth eest @BoredApeYC #6267 võeti vastu.
Minu arvates on väga oluline seda juhtumit NFT kogukonna seas levitada!
Alustame ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) November 10, 2021
Case 3: Alice on omanud NFT-d juba mõnda aega ja ühtäkki see blokeeritakse ja märgitakse kui "teatatud kahtlasest tegevusest". Müüja kontol pole ohtu ja tehing toimus mõni aeg tagasi. Kuna varastatud NFT-st teatamiseks ja selle blokeerimiseks pole vaja tõendeid, võib igaüks saata e-kirja OpenSea pettustevastasele meeskonnale, et blokeerida mis tahes NFT.
Kuigi politseiaruannet saab nõuda hiljem, ei ole OpenSea selget avaldust häkkimise tõendamiseks vajalike tõendite täpsustamiseks ega tingimust, mille alusel saab valeteatatud varastatud NFT tuvastada ja plokist eemaldada. Varastatud NFT-de valeteavitamisel ei ole tagajärgi.
NFT-d blokeeritakse sageli ilma selgituste või tõenditeta, näiteks kaudsele ohvrile esitatavate politseiaruanneteta. Teoreetiliselt saab nende NFT-dega kaubelda ka muudel platvormidel, kuid arvestades OpenSea monopoli turul, mis moodustab 95% kõigist NFT-de kauplemismahtudest, on mis tahes NFT-de blokeerimine OpenSeas peaaegu samaväärne nende igaveseks turult eemaldamisega.
NFT-de blokeerimine võib hinda kunstlikult tõsta
Varastatud NFT-de kauplemise blokeerimise oht suurimal NFT-platvormil OpenSea on pakkumise püsiv vähenemine. Põhinedes pakkumise ja nõudluse seadus majandusteoorias on nii, et kui pakkumine väheneb, siis hind tõuseb.
Näiteks Azuki kollektsioonis on 10,000 1,100 NFT-d ja praegu on OpenSeas müügil ainult 0. Arthur17xi häkkimise tulemusena varastati ja blokeeriti 17. Kuigi 1.5 NFT-d moodustavad vaid umbes 1,100% ringluses olevast 22-st, on hind pärast häkkimist juba näidanud tõusutrendi. Häkkimine juhtus XNUMX. märtsil ja hind tipptasemel 28. märtsil kuni 20.96 E enne lennuväljakuulutamist 31. märtsil – nädalaga 55% tõus.
Kuigi kõik 17 varastatud NFT-st pole blokeeritud, kuna Arthuril õnnestus kaudsete ohvritega nende tagasiostmiseks peetud läbirääkimistel osa tagasi saada, toimub sarnasel kujul tulevasi häkkimisi pidevalt ja blokeeritud NFT-de kumulatiivne arv võib häkkimise jätkudes suureneda. nende deblokeerimiseks ei ole kehtestatud protseduure.
Kasutades taas näitena Azukit, kogub allolev graafik müükide ajaloolise arvu ja keskmise hinna, et luua nõudluskõver ning eeldab, et pakkumise kõver on lineaarne. Nõudluse ja pakkumise kõverate ristumispunkt on tasakaaluhind.
Kuna pakkumine pidevalt väheneb, muutub hinnatõusu kiirus nõudluskõvera kalde järsemaks muutudes kiiremaks. Võrdne 300 NFT pakkumise vähenemine 1,000-lt 700-le versus 700-lt 400-le põhjustab viimaste suurema hinnatõusu.
Nagu on näidatud alloleval graafikul, tõuseb hind 15 ETH-lt 21 ETH-le 1,000-lt 700-le, kuid 21-lt 28-le langeb hind 700 ETH-lt 400-le.
On selge, et varastatud NFT-de blokeerimine võib kollektsiooni hinda kunstlikult tõsta. Kui keegi sooviks ära kasutada OpenSea turvasüsteemi lünka, teatades valest paljudest NFT-dest samast kogust, kus varastati (kuna varastatud NFT-de teatamiseks pole vaja tõendeid), võib kollektsiooni hind järsult tõusta, kui pakkumine on madal. . See lünk võib luua võimalusi hindadega manipuleerimiseks mittelikviidsel NFT turul.
Igal juhul ei ole NFT-de blokeerimine tõhus meede häkkimise peatamiseks või häkkeri karistamiseks, vaid vastupidi, tekitab turumanipulaatoritele rohkem kaudseid ohvreid ja lünki. See ei ole kindlasti õige tee, seega kas on olemas mõni tõhus turvameede?
Ennetavad meetmed ja tõenditel põhinev süsteem peavad olema paigas
Praegusel OpenSea turvasüsteemil pole ennetavaid meetmeid kasutajate eelnevaks kaitsmiseks. Kõik ohutusmeetmed rakendatakse alles pärast häkkimist, mis on üks peamisi põhjuseid, miks need on ebatõhusad.
Häkkerite käitumise põhjal on aeg oluline komponent. Turvameetmed, mis võivad häkkerit aeglustada või ohvreid varakult teavitada, on lahingu võitmise võtmed. Siin on mõned tõhusamad ennetusmeetmed, mida OpenSea saab rakendada:
- Looge varajase hoiatamise süsteem, mis suudab tuvastada ebatavalisi kontotegevusi ja saata kiirsõnumeid või meilimärguandeid, et teavitada kasutajaid sellisest tegevusest, et neil jääks vastamiseks piisavalt aega. Näiteks kui konto pole kunagi ühe minuti jooksul ostnud ega üle kandnud rohkem kui ühte NFT-d; või kui kontol pole kunagi varem teatud ajaperioodi jooksul (st kasutaja magamise ajavööndite) tegevusi olnud, tuvastavad selliste tegevuste toimumise masinõppe algoritmid. Kontoomanik saab valida, kas teda teavitatakse kohe või lubada konto turvalisuse huvides automaatselt lukustada.
- Andke kasutajatele võimalus piirata maksimaalset lubatud NFT ülekannete või müükide arvu teatud aja jooksul, st maksimaalselt üks ülekanne või müük ühe minuti jooksul; või iga võõrandamise või müügi vahel kehtestatud minimaalne ajavahemik, st järgmine võõrandamine või müük saab toimuda alles 15 minutit pärast eelmist. Need meetmed võivad takistada häkkeritel ühe korraga suure hulga NFT-de varastamist.
- Looge kahtlaste kontode armatuurlauad, mis võimaldavad ohvritel avalikkuse kontrollimiseks kohe lisada ohustatud kontosid ja häkkerite kontosid. See annab kõigile ostjatele reaalajas teavet kahtlaste kontode kohta ja võimaluse enne ostmist ristkontrollida, kas müüja on loendis. Ohvrilt saab hiljem nõuda tõendeid, näiteks politseiaruannet, et tõendada, et teatatud kontod on tõepoolest rikutud.
Mõned neist meetmetest võivad põhjustada valehäireid ja ebamugavusi. Kuid kuna ennetusmeetmete osas käib võidujooks häkkerite vastu, eelistavad kasutajad järgmiseks ohvriks saamist pigem karta kui kahetseda.
Levinud väärarusaamad krüptohäkkimise kohta
Levinud väärarusaam krüptohäkkimise kohta on, et "minuga seda ei juhtu, kuna mu turvateadlikkus on kõrge ja ma kasutan kõva rahakotti." Võib olla tõsi, et otsest pahatahtlikku häkkimist saab heade turvatavade abil vältida, kuid igaüks võib saada kellelegi teisele suunatud häkkimise kaudseks ohvriks. Kui häkkimiste arv suureneb, on ka kaudseks ohvriks sattumise võimalus palju suurem.
Teine väärarusaam on järgmine: "Seni, kuni ma oma kuumas rahakotis liiga palju raha ei hoia, pole vahet, kas rahakott on ohus." Enamik kasutajaid ei mõista, et rahaline kahju on vaid üks häkkimise tagajärg. Web3 rahakoti kaotamine on nagu kogu krediidiajaloo kaotamine. Mis tahes tulevikus saadav kasu, mis põhineb varasematel tegevustel, nagu lennupiletid või juurdepääs laenudele ja finantsvõimendusele, võivad samuti haihtuda koos ohustatud rahakotiga.
Kuigi plokiahel on üks turvalisemaid finantstehnoloogiaid, mis eales loodud, on pahatahtlikud häkkimised krüptopõhiste platvormide vastu Web3 ettevõtmisele suurimaks ohuks.
Arvestades plokiahela pöördumatut olemust ja OpenSea ennetavate turvameetmete puudumist, ei ole raske näha parimat lahendust, mille OpenSea pärast Ethereumi domeeni oksjoni häkkimine eesmärk on pakkuda häkkerile varastatud NFT-de tagastamise eest 25% müügitulu. Ainult NFT turu maailmas saab kurjategija nii raske kuriteo eest pigem tasu kui karistada.
NFT turu monopolina saab OpenSea kindlasti paremini hakkama ja võtta turvameetmeid tõsisemalt ning pakkuda oma kasutajatele rohkem kaitset.
Siin avaldatud vaated ja arvamused on ainult autori omad ja ei pruugi kajastada Cointelegraph.com vaateid. Iga investeerimis- ja kauplemisliikumine on seotud riskiga, otsuse tegemisel peaksite ise läbi viima uuringud.
Allikas: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections