Vo februári 2022 OpenSea sa stal obeťou veľkého phishingového útoku čo malo za následok viac ako 1.7 milióna dolárov nezameniteľné tokeny (NFT) ukradnuté používateľom. Nebol to jediný incident: údajne užívatelia blockchainu podvodnou činnosťou stratil 3.9 miliardy dolárov v samotnom 2022.
Keď sme vstúpili do roku 2023, zaznelo množstvo prísľubov na zvýšenie bezpečnosti v krypto priestore. Zatiaľ sa však veci výrazne nezmenili. Spoločnosti, ktoré využívajú blockchain, stále nerobia dosť na to, aby zabránili podvodom.
Ak sa technológia blockchain dočká masového prijatia, spoločnosti budú musieť zmeniť svoj prístup zdola nahor. Zameraním sa na vzdelávanie a implementáciou lepších procesov na identifikáciu škodlivých aktivít môžu tieto platformy lepšie slúžiť svojim zákazníkom, keďže priestor sa neustále rozrastá.
Blockchainové platformy sa musia naučiť, ako identifikovať škodlivú aktivitu
V prípade hacku OpenSea boli obete požiadané, aby podpísali neúplnú zmluvu, zdanlivo na žiadosť platformy. Aj keď základná infraštruktúra OpenSea nebola napadnutá, falošné účty dokázali využiť open-source protokol Wyvern. Hackeri potom mohli použiť podpis majiteľa previesť na falošnú zmluvu, ktorá im dáva vlastníctvo bez toho, aby museli platiť za NFT.
Súvisiace: 10 predpovedí pre krypto v roku 2023
OpenSea nedávno zvrátila niektoré zo svojich predchádzajúcich politík po tom, ako to bolo hlásené že 80 % NFT vyrazených zadarmo na platforme bolo plagiátov alebo spamu. OpenSea sa tiež spolieha na dôveru vo vývojárov, ktorí používajú jeho API, čo nie je spoľahlivý spôsob hodnotenia rizika. Títo vývojári by mohli použiť API na škodlivé účely, aby využili používateľov podpisujúcich zmluvy, ktoré nečítajú.
Inteligentné zmluvy sú neoddeliteľnou súčasťou blockchain motora a možno ich nájsť všade, od búrz NFT až po skutočné decentralizované aplikácie. Pochopenie toho, ako tieto zmluvy fungujú, je nevyhnutné na udržanie bezpečnosti používateľov. Spoločnosti môžu namiesto objavovania kolesa implementovať štandardné protokoly, aby zabezpečili, že inteligentné zmluvy budú odolné a chránené pred škodlivými aktivitami. Odtiaľ môžu spoločnosti využiť flexibilnú povahu blockchainu a prispôsobiť svoju zmluvu, ako je nastavenie peňaženiek s viacerými podpismi a pravidelné testovanie jednotiek.
Dajte si pozor na spamový airdrop
Ak hľadáte populárnu kolekciu Mutant Hounds, ktorá sa nachádza v top kolekciách OpenSea, nič nenaznačuje, ktorá kolekcia je legitímna. Nedostatočné overenie môže viesť k vytváraniu falšovaných zbierok, ktoré umelo zvyšujú cenu, aby to vyzeralo ako legitímne a pre používateľov mätúce. Falošné zbierky sú často distribuované prostredníctvom airdrops, ktoré sa majú nájsť prostredníctvom funkcie vyhľadávania platformy NFT.
Súvisiace: V čom sa Paul Krugman mýli o kryptomenách
Spamové zbierky môžu tiež posielať používateľom NFT, o ktoré nepožiadali, prostredníctvom airdrops. Používatelia budú presmerovaní nie cez platformu, kde majú zbierku, ako je OpenSea, ale cez inú stránku, kde dôjde k podvodu.
Ide o bežné riziko, ktoré môžu riešiť platformy monitorujúce takúto aktivitu, či už prostredníctvom crowdsourcovanej databázy, ktorá sleduje podvodné účty, alebo administratívneho nástroja, ktorý vie, čo má hľadať, a neustále si uvedomuje aktualizované podvody. Okrem toho môžu platformy NFT vyžadovať, aby ponuky boli v rovnakej mene ako zoznam, aby sa predišlo nejasnostiam. Mnohí používatelia boli oklamaní prijatím ponuky v menej hodnotnej mene, než v akej uviedli NFT na predaj. Blockchainové platformy sa môžu spoliehať na údaje, aby odhalili svoje odľahlé hodnoty tým, že označia podozrivú aktivitu založenú na nepravidelnej aktivite medzi malým počtom držiteľov.
Samozrejme, treba poznamenať, že spoločnosti ako OpenSea sú v náročnej pozícii, keď musia strážiť podvodné účty, ktoré sa razia na ich platforme. V mnohých prípadoch sa to scvrkáva na potrebu dôkladnejšieho overovania úradnej zbierky.
Onboarding je neoddeliteľnou súčasťou biznis plánu
Onboarding by mal byť základnou súčasťou zážitku z blockchainu pre skúsených a začínajúcich používateľov. Rovnako ako inteligentné zmluvy, stanovenie jasných pokynov pre používateľov a zdôraznenie potenciálnych rizík by sa malo považovať za jeden zo základných osvedčených postupov na zaistenie bezpečnosti používateľov. Tieto príručky by sa mali pravidelne revidovať, berúc do úvahy hodnotenie rizika, a podľa toho by sa mali upravovať, keď blockchain dozrieva.
Medzi skúsenými používateľmi je inicializmus „DYOR“ bežný medzi používateľmi na blockchaine. Ako skratka pre „urob si vlastný prieskum“ sa tento výraz stal nevysloveným pravidlom pre tých, ktorí prichádzajú do styku s potenciálnymi investičnými príležitosťami. Pre nováčikov však môže byť náročné presne vedieť, kde začať. V rámci tohto priestoru existuje množstvo nezhodných informácií od influencerov, ktorí často presadzujú ďalšiu veľkú vec a riadia riskantné investície, čo vedie k tomu, že používatelia sa stávajú obeťami podvodov alebo straty majetku. Usmernenia a vzdelávacie materiály by mali byť ľahko dostupné, prispôsobené hodnotovému systému každej platformy a jedinečným rizikám.
Najlepšie postupy by mali byť prioritou pre všetky blockchainové platformy
Keďže blockchainová komunita v súčasnosti pracuje cez svoje rastúce problémy, spoločnosti by si mali vziať tvrdé ponaučenia z veľkých exploitov, ako sú tie na OpenSea, a vylepšiť svoje bezpečnostné protokoly, aby sa zabezpečilo, že sa to už nebude opakovať. Východiskovým bodom by malo byť učenie sa detailov základnej technológie, od inteligentných zmlúv až po to, ako chrániť svoju počiatočnú frázu. Odtiaľ sa dozviete, ako implementovať a udržiavať osvedčené postupy, ako je identifikácia škodlivých aktivít a tých, ktorí spôsobujú zmätok. Možno by stačilo na zabránenie niektorým z najnovších rozsiahlych hackov len to, aby si niekto všimol, že niečo nie je v poriadku.
Michael R. Pierce je spoluzakladateľom a generálnym riaditeľom spoločnosti NotCommon. Titul BBA aj MBA získal na Texaskej univerzite v Austine.
Tento článok slúži na všeobecné informačné účely a nie je určený a nemal by byť braný ako právne alebo investičné poradenstvo. Názory, myšlienky a názory vyjadrené tu patria výlučne autorovi a nemusia nevyhnutne odrážať alebo reprezentovať názory a názory Cointelegraphu.
Zdroj: https://cointelegraph.com/news/opensea-must-become-more-ambitious-about-fighting-hackers