Trg nezamenljivih žetonov (NFT) je v razcvetu od poletja 2021 in ko so cene NFT strmo narasle, se je povečalo tudi število vdorov, ki so ciljali na NFT.
Najnovejši odmevnejši hack je izvlekel približno 600 Ether (ETH) v vrednosti NFT od Arthur0x, ustanovitelja DeFiance Capital, ki so bili nato prodani na OpenSea.
Poročilo o kripto kriminalu za leto 2022, ki ga je objavil Chainalysis, je poudarilo, da je vrednost, poslana na trge NFT z nezakonitih naslovov, v letu 2021 znatno poskočila in dosegla nekaj manj kot 1.4 milijona dolarjev. Očitno se je povečalo tudi število ukradenih sredstev, poslanih na trge NFT.
Glede na zaskrbljujoče hitro povečanje nezakonite vrednosti, ki se pretaka v platforme NFT, se je naravno vprašati, ali so vzpostavljeni varnostni ukrepi in postopki in če so, ali so ti ukrepi učinkoviti pri zaščiti lastnikov.
Oglejmo si OpenSea, največjo NFT platformo, in njene varnostne ukrepe.
Varnostni ukrepi v OpenSea ne morejo zaščititi uporabnikov
OpenSea ima dva glavna varnostna ukrepa, ki se sprožita, ko je bil račun "vlomljen" - zaklepanje ogroženega računa in blokiranje ukradenih NFT-jev. Ta dva ukrepa sta zelo neučinkovita, če ju pogledamo od blizu.
Zaklepanje računa se lahko izvede na spletnem mestu OpenSea brez človeške odobritve kot pokazale tukaj, medtem ko blokiranje NFT vključuje dolgotrajen postopek zbiranja vstopnice in čakanja, da se ekipa za pomoč OpenSea odzove.
V situaciji, ko je heker že ogrozil denarnico in je v postopku prenosa NFT-jev, bo zaklepanje računa učinkovito le, če se izvede, preden heker vse prenese.
Podobno je blokiranje NFT-jev učinkovit šele, preden heker proda NFT drugemu kupcu. Še huje je, da ta varnostni ukrep ustvari vrsto posrednih žrtev, ki končajo z blokiranimi NFT, ki jih ni mogoče prodati ali prenesti. To je zato, ker je odzivni čas za vstopnice, zbrane v OpenSea, vsaj en dan. Do takrat, ko OpenSea blokira NFT, bi jih že prodali drugemu kupcu, ki zdaj postane nova žrtev kaznivega dejanja.
V primeru 17 ukradenih Azukijev iz Arthur0xa jih je bilo 15 ukradenih v isti minuti, dva pa tri minute pozneje. Povprečni čas, ko so ti ukradeni NFT ostali v hekerjevi denarnici, preden so bili prodani, je 43 minut. Varnostni ukrepi OpenSea nikakor niso dovolj odzivni in dovolj hitri, da bi obvestili žrtev in ustavili hekerja; prav tako ne morejo kupcev obvestiti dovolj nemudoma, da bi jim preprečili nakup ukradenih NFT in postali posredne žrtve.
Blokiranje ukradenih NFT ustvarja posredne žrtve
Posredno žrtev je nekdo, ki ni tarča vdora, vendar posredno trpi zaradi finančnih izgub, ki jih povzroča blokiranje ukradenih NFT. Kot je razvidno iz številnih nedavnih vdorov v NFT, se NFT-ji vedno prodajajo, preden OpenSea implementira blok. Posledica prepoznega blokiranja NFT je, da ustvarja posredne žrtve in več izgub za več ljudi.
Za bolj podrobno ponazoritev, kako bi lahko kdo na koncu kupil ukradeno NFT in postal posredna žrtev vdora, so tu trije pogosti primeri:
Case 1: Alice je kupila NFT, a je šele pozneje ugotovila, da je ukradeno sredstvo. NFT je blokiran in Alice ga ne more prodati ali prenesti na OpenSea. Nato nadaljuje z zbiranjem vozovnice za podporo. Po nekaj tednih ekipa OpenSea Trust & Safety ponuja povračilo 2.5-odstotnih pristojbin za platformo; in morda elektronski naslov žrtve, ki je tatvino prijavila, če bo imela srečo. Potem se bo verjetno dolgo pogovarjala z žrtvijo, da bi se pogajala o možnosti dviga bloka, kar najverjetneje ne bo končalo nikjer.
Alice lahko še vedno prodaja NFT na drugih trgih, vendar je obseg prodaje za to posebno zbirko zelo nizek in ni kupca, ki bi lahko ponudil pošteno ceno na drugih platformah kot OpenSea.
Case 2: Alice je med licitiranjem za NFT iz zbirke dala več ponudb. Eno od ponudb je heker sprejel, nato je v denarnico žrtve prejel plačilo iz ponudbe in denarnico očistil. NFT je bil pozneje blokiran kot del ukradenega premoženja iz nepooblaščenih transakcij žrtve.
Takšni primeri se pogosto zgodijo, ker navedenih NFT-jev ni mogoče prenesti, razen če je kotacija preklicana. Heker, ki je pod časovnim pritiskom, bo bolj verjetno sprejel ponudbo in dobil izkupiček od prodaje ter denar nakazal. Spodnji primer prikazuje, kako je OpenSea brez pojasnila blokiral celotno zbirko NFT posredne žrtve.
Tukaj je moja tema o tem, kako @opensea neutemeljeno blokiral moj račun in zamrznil vse moje NFT po moji ponudbi 40 weth for @BoredApeYC #6267 je bil sprejet.
Mislim, da je zelo pomembno razširiti ta primer med NFT skupnostjo!
Začnimo ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) November 10, 2021
Case 3: Alice ima v lasti NFT že kar nekaj časa in nenadoma je blokiran in označen kot »prijavljen zaradi sumljive dejavnosti«. Prodajalčev račun ni ogrožen in transakcija se je zgodila pred časom. Ker ni potrebnih dokazov za prijavo ukradenega NFT in njegovo blokiranje, lahko kdorkoli pošlje e-pošto skupini za boj proti goljufijam OpenSea, da blokira kateri koli NFT.
Čeprav je pozneje mogoče zahtevati policijsko poročilo, OpenSea ne vsebuje niti jasne izjave, ki bi navajala dokaze, potrebne za dokazovanje vdora, niti pogojev, pod katerimi je mogoče identificirati lažno prijavljeno ukradeno NFT in jo odstraniti iz bloka. Za lažno prijavo ukradenih NFT ni posledic.
NFT so pogosto blokirani brez razlage ali dokazov, kot so policijska poročila, predložena posredni žrtvi. Teoretično je s temi NFT še vedno mogoče trgovati na drugih platformah, toda glede na monopol OpenSea na trgu, s 95 % celotnega obsega trgovanja NFT, je blokiranje katerega koli NFT na OpenSea skoraj enakovredno, da jih za vedno umaknemo s trga.
Blokiranje NFT-jev bi lahko umetno zvišalo ceno
Nevarnost blokiranja ukradenih NFT-jev pri trgovanju na največji NFT platformi OpenSea je trajno zmanjšanje ponudbe. Temelji na zakon ponudbe in povpraševanja v ekonomski teoriji, ko se ponudba zmanjša, se cena dvigne.
Na primer, zbirka Azuki ima 10,000 NFT-jev in trenutno je le 1,100 naprodaj na OpenSea. Vdiranje Arthur0x je povzročilo krajo in blokiranje 17. Čeprav je 17 NFT le okoli 1.5 % od 1,100 v obtoku, je cena že pokazala trend naraščanja po vdoru. Vdor se je zgodil 22. marca in cena vrhunec 28. marca do 20.96 E pred objavo airdrop 31. marca — 55 % povečanje v enem tednu.
Čeprav vseh 17 ukradenih NFT ni blokiranih, saj je Arthurju uspelo nekaj izterjati s pogajanji s posrednimi žrtvami, da jih odkupi, se bodo prihodnji vdori v podobni obliki dogajali neprekinjeno in skupno število blokiranih NFT se lahko le povečuje, ko se vdori nadaljujejo in ne obstajajo postopki za njihovo deblokiranje.
Če ponovno uporabimo Azuki kot primer, spodnji graf zbira zgodovinsko število prodaj in povprečno ceno, da ustvari krivuljo povpraševanja in predpostavlja, da je krivulja ponudbe linearna. Točka, kjer se križata krivulji ponudbe in povpraševanja, je ravnotežna cena.
Ker se ponudba nenehno zmanjšuje, postaja hitrost rasti cene hitrejša, saj nagib krivulje povpraševanja postaja strmejši. Enako zmanjšanje ponudbe za 300 NFT s 1,000 na 700 v primerjavi s 700 na 400 povzroči večje zvišanje cene za slednje.
Kot je prikazano na spodnjem grafu, se cena poveča s 15 ETH na 21 ETH od znižanja za 1,000 na 700, vendar se še bolj poveča z 21 ETH na 28 ETH od znižanja od 700 do 400.
Jasno je videti, da bi blokiranje ukradenih NFT lahko umetno zvišalo ceno zbirke. Če bi nekdo želel izkoristiti vrzel v varnostnem sistemu OpenSea z lažno prijavo številnih NFT iz iste zbirke kot ukradenih (ker za prijavo ukradenih NFT niso potrebni dokazi), bi se cena zbirke lahko dramatično povečala, če bi bila ponudba nizka. . Ta vrzel bi lahko ustvarila priložnosti za manipulacijo cen na nelikvidnem trgu NFT.
V vsakem primeru blokiranje NFT ni učinkovit ukrep za zaustavitev vdora ali kaznovanje hekerja, ampak nasprotno, ustvarja več posrednih žrtev in vrzeli za tržne manipulatorje. To zagotovo ni prava pot, ali obstaja kakšen učinkovit varnostni ukrep?
Vzpostaviti je treba preventivne ukrepe in sistem, ki temelji na dokazih
Trenutni varnostni sistem OpenSea nima vzpostavljenih preventivnih ukrepov za vnaprejšnjo zaščito uporabnikov. Vsi varnostni ukrepi se izvajajo šele po vdoru, kar je eden od glavnih razlogov, zakaj so neučinkoviti.
Glede na vedenje hekerjev je čas bistvena sestavina. Varnostni ukrepi, ki lahko upočasnijo hekerja ali zgodaj obvestijo žrtve, so ključ do zmage v bitki. Tukaj je nekaj učinkovitejših preventivnih ukrepov, ki jih lahko izvaja OpenSea:
- Ustvarite sistem zgodnjega opozarjanja, ki lahko zazna nenormalno dejavnost računa in pošlje takojšnja besedilna sporočila ali e-poštna opozorila, da uporabnike obvesti o takšni dejavnosti, da bodo imeli dovolj časa za odziv. Na primer, če račun nikoli ni kupil ali prenesel več kot enega NFT v eni minuti; ali če račun v določenem časovnem obdobju (tj. časovni pasovi, ko uporabnik spi), v preteklosti nikoli ni imel nobenih dejavnosti, bodo pojav takšnih dejavnosti zaznali algoritmi strojnega učenja. Imetnik računa se lahko odloči, da bo takoj obveščen, ali pa dovoli, da se račun zaradi varnosti samodejno zaklene.
- Uporabnikom omogočiti, da omejijo največje dovoljeno število prenosov ali prodaj NFT v časovnem okviru, tj. največ en prenos ali prodajo v eni minuti; ali minimalni časovni interval med vsakim prenosom ali prodajo, tj. naslednji prenos ali prodaja se lahko zgodi le 15 minut po prejšnjem. Ti ukrepi lahko preprečijo hekerjem krajo velikega števila NFT-jev naenkrat.
- Ustvarite nadzorne plošče sumljivih računov, ki žrtvam omogočajo, da takoj dodajo ogrožene račune in hekerske račune za javni pregled. Tako bodo vsi kupci v realnem času dobili informacije o sumljivih računih in možnost navzkrižnega preverjanja, ali je prodajalec na seznamu, preden kupijo. Dokaz, kot je policijsko poročilo, se lahko pozneje zahteva od žrtve, da se dokaže, da so prijavljeni računi res ogroženi.
Nekateri od teh ukrepov lahko povzročijo lažne alarme in neprijetnosti. Toda glede na to, da je s hekerjem tekma časa, ko gre za preventivne ukrepe, bodo uporabniki raje varni kot žal, da ne bi postali naslednja žrtev.
Pogoste napačne predstave o vdoru v kriptovalute
Pogosta napačna predstava o vdiranju v kriptovalute je, da se "to ne bo zgodilo meni, ker je moja varnostna zavest visoka in uporabljam trdo denarnico." Morda je res, da bi se lahko z dobro varnostno prakso izognili neposrednemu zlonamernemu vdoru, vendar bi lahko vsak postal posredna žrtev vdora, ki cilja na nekoga drugega. Ko se število vdorov poveča, je tudi možnost, da postanete posredna žrtev, veliko večja.
Druga napačna predstava je: "dokler v svoji vroči denarnici ne hranim preveč denarja, ni pomembno, ali je denarnica ogrožena." Večina uporabnikov se ne zaveda, da je denarna izguba le ena od posledic vdora. Izguba denarnice Web3 je kot izguba celotne kreditne zgodovine. Vse prihodnje koristi, ki temeljijo na preteklih dejavnostih, kot so airdrops ali dostop do posojil in finančnega vzvoda, lahko prav tako izhlapijo z ogroženo denarnico.
Čeprav je blockchain ena najbolj varnih finančnih tehnologij, kar jih je bilo kdaj ustvarjenih, so zlonamerni vdori v platforme, ki temeljijo na kriptovalutih, največja grožnja podvigu Web3.
Glede na nepopravljivo naravo blockchaina in pomanjkanje preventivnih varnostnih ukrepov OpenSea ni težko videti najboljše rešitve, ki jo je OpenSea prišel po Hack dražbe domene Ethereum je ponuditi hekerju 25 % dobička od prodaje v zameno za vračilo ukradenih NFT. Samo v svetu trga NFT je lahko zločinec za tako hudo kaznivo dejanje nagrajen in ne kaznovan.
OpenSea je kot monopol trga NFT zagotovo boljši od tega in resneje vzame varnostne ukrepe in svojim uporabnikom zagotovi večjo zaščito.
Tu stališča in mnenja so izključno avtorja in ne odražajo nujno stališč Cointelegraph.com. Vsaka naložbena in trgovalna poteza vključuje tveganje, pri odločitvi morate opraviti lastno raziskovanje.
Vir: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections