Trh s nezameniteľnými tokenmi (NFT) zažíva boom od leta 2021 a keďže ceny NFT prudko stúpali, rástol aj počet hackov zameraných na NFT.
Najnovší vysokoprofilový hack sifónoval približne 600 éterov (ETH) v hodnote NFT od Arthur0x, zakladateľa DeFiance Capital, ktoré sa potom predávali na OpenSea.
Správa o krypto kriminalite z roku 2022, ktorú zverejnila Chainalysis, zdôraznila, že hodnota odoslaná nezákonným adresám na trhy NFT v roku 2021 výrazne vyskočila a dosiahla takmer 1.4 milióna dolárov. Došlo tiež k jasnému nárastu ukradnutých prostriedkov odoslaných na trhoviská NFT.
Vzhľadom na znepokojivý rýchly nárast nezákonnej hodnoty prúdiacej do platforiem NFT je prirodzené pýtať sa, či sú zavedené bezpečnostné opatrenia a postupy, a ak áno, či sú tieto opatrenia účinné pri ochrane vlastníkov.
Poďme sa pozrieť na OpenSea, najväčšiu platformu NFT, a jej bezpečnostné opatrenia.
Bezpečnostné opatrenia na OpenSea nedokážu ochrániť používateľov
OpenSea má dve hlavné bezpečnostné opatrenia, ktoré sa aktivujú po „hacknutí“ účtu – uzamknutie napadnutého účtu a zablokovanie ukradnutých NFT. Tieto dve opatrenia sú veľmi neúčinné, keď sa na ne pozrieme zblízka.
Uzamknutie účtu je možné vykonať na webovej stránke OpenSea bez súhlasu človeka zobrazené tu, zatiaľ čo blokovanie NFT zahŕňa zdĺhavý proces zdvíhania lístka a čakania na odpoveď tímu pomoci OpenSea.
V situácii, keď hacker už kompromitoval peňaženku a je v procese prenosu NFT, bude zablokovanie účtu účinné iba vtedy, ak sa tak stane skôr, ako hacker prevedie všetko.
Podobne aj blokovanie NFT je účinné len predtým, ako hacker predá NFT inému kupujúcemu. Čo je ešte horšie, toto bezpečnostné opatrenie vytvára sériu nepriamych obetí, ktoré skončia so zablokovanými NFT, ktoré nemožno predať ani previesť. Je to preto, že čas odozvy na lístky získané v OpenSea je aspoň jeden deň. V čase, keď sú NFT zablokované spoločnosťou OpenSea, už by boli predané inému kupujúcemu, ktorý sa teraz stáva novou obeťou trestného činu.
V prípade 17 ukradnutých Azuki z Arthur0x bolo 15 ukradnutých v priebehu tej istej minúty a dve boli ukradnuté o tri minúty neskôr. Priemerný čas, kedy tieto ukradnuté NFT zostali v hackerovej peňaženke, kým boli predané, je 43 minút. Bezpečnostné opatrenia OpenSea v žiadnom prípade nereagujú dostatočne rýchlo na to, aby informovali obeť a zastavili hackera; ani nemôžu dostatočne rýchlo informovať kupujúcich, aby im zabránili kúpiť ukradnuté NFT a stať sa nepriamymi obeťami.
Blokovanie ukradnutých NFT vytvára nepriame obete
Nepriama obeť je niekto, kto nie je cieľom hacknutia, ale nepriamo trpí finančnými stratami spôsobenými zablokovaním ukradnutých NFT. Ako vidno z mnohých nedávnych hackov NFT, NFT sa vždy predávajú predtým, ako OpenSea implementuje blok. Dôsledkom príliš neskorého blokovania NFT je to, že vytvára nepriame obete a väčšie straty pre viac ľudí.
Na podrobnejšie znázornenie toho, ako by si niekto mohol kúpiť ukradnuté NFT a stať sa nepriamou obeťou hacknutia, uvádzame tri bežné prípady:
Prípad 1: Alice si kúpila NFT, ale až neskôr zistila, že ide o ukradnuté aktívum. NFT je zablokovaný a Alice ho nemôže predať ani previesť na OpenSea. Potom pristúpi k vyzdvihnutiu podporného lístka. Po niekoľkých týždňoch tím OpenSea Trust & Safety ponúka vrátenie 2.5 % poplatkov za platformu; a prípadne aj e-mailovú adresu obete, ktorá v prípade šťastia nahlásila krádež. Potom bude mať pravdepodobne dlhú diskusiu s obeťou, aby vyjednala možnosť zdvihnutia bloku, čo s najväčšou pravdepodobnosťou neskončí nikde.
Alice môže stále predávať NFT na iných trhoch, ale objem predaja je pre túto konkrétnu kolekciu veľmi nízky a neexistuje kupujúci, ktorý by mohol ponúknuť primeranú cenu na iných platformách ako OpenSea.
Prípad 2: Alice urobila viacero ponúk, keď ponúkala NFT zo zbierky. Jednu z ponúk hacker prijal, následne dostal platbu z ponuky do peňaženky obete a pristúpil k vyčisteniu peňaženky. NFT bol neskôr zablokovaný ako súčasť ukradnutých aktív z neoprávnených transakcií obete.
Takéto prípady sa často stávajú, pretože kótované NFT nie je možné previesť, pokiaľ nie je kótovanie zrušené. Hacker, ktorý je pod časovým tlakom, s väčšou pravdepodobnosťou prijme ponuku a získa výnosy z predaja a prevedie peniaze von. Nižšie uvedený prípad ukazuje, ako bola celá zbierka NFT nepriamej obete zablokovaná spoločnosťou OpenSea bez vysvetlenia.
Tu je moje vlákno o tom, ako na to @opensea bezdôvodne zablokoval môj účet a zmrazil všetky moje NFT po mojej ponuke 40 weth za @BoredApeYC #6267 bolo prijaté.
Myslím si, že je veľmi dôležité šíriť tento prípad medzi komunitou NFT!
Začíname ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Novembra 10, 2021
Prípad 3: Alice už nejaký čas vlastní NFT a zrazu je zablokovaný a označený ako „nahlásený pre podozrivú aktivitu“. Účet predajcu nie je napadnutý a transakcia prebehla pred chvíľou. Keďže neexistujú žiadne dôkazy potrebné na nahlásenie ukradnutého NFT a jeho zablokovanie, ktokoľvek môže poslať e-mail tímu OpenSea pre boj proti podvodom, aby zablokoval akékoľvek NFT.
Aj keď je možné neskôr požiadať o policajnú správu, OpenSea nemá jasné vyhlásenie, ktoré by špecifikovalo dôkazy potrebné na preukázanie hacknutia, ani podmienku, za ktorej možno falošne nahlásené ukradnuté NFT identifikovať a odstrániť z bloku. Nepravdivé nahlásenie ukradnutých NFT nemá žiadne dôsledky.
NFT sú často zablokované bez vysvetlenia alebo dôkazov, ako sú policajné správy poskytnuté nepriamej obeti. Teoreticky možno tieto NFT stále obchodovať na iných platformách, ale vzhľadom na monopol spoločnosti OpenSea na trhu s 95 % celkových objemov obchodovania s NFT je zablokovanie akéhokoľvek NFT na OpenSea takmer ekvivalentné ich trvalému stiahnutiu z trhu.
Blokovanie NFT by mohlo umelo zvýšiť cenu
Nebezpečenstvom blokovania ukradnutých NFT obchodovania na najväčšej NFT platforme OpenSea je trvalé zníženie ponuky. Založený na zákon ponuky a dopytu v ekonomickej teórii, keď ponuka klesá, cena stúpa.
Napríklad kolekcia Azuki má 10,000 1,100 NFT a v súčasnosti je na OpenSea v predaji iba 0 17. Hack Arthur17x viedol k odcudzeniu a zablokovaniu 1.5. Aj keď 1,100 NFT predstavuje len približne 22 % z XNUMX XNUMX cirkulujúcich dodávok, cena už po hackovaní ukázala trend zvyšovania. Hack sa stal XNUMX. marca a cena špicatá z 28. marca na 20.96 E pred oznámením o výsadku 31. marca — 55 % nárast v priebehu týždňa.
Hoci nie všetky zo 17 ukradnutých NFT sú zablokované, keďže Arthurovi sa podarilo niektoré získať späť vyjednávaním s nepriamymi obeťami o ich odkúpení, budúce hacky v podobnej forme sa budú diať nepretržite a kumulatívny počet zablokovaných NFT sa môže len zvyšovať, keď hackovanie bude pokračovať a nie sú zavedené žiadne postupy na ich odblokovanie.
Ak opäť použijeme Azuki ako príklad, nižšie uvedený graf zhromažďuje historický počet predajov a priemernú cenu na vytvorenie krivky dopytu a predpokladá, že krivka ponuky je lineárna. Bod, kde sa pretínajú krivky ponuky a dopytu, je rovnovážna cena.
Keď sa ponuka neustále znižuje, rýchlosť rastu ceny sa zrýchľuje, pretože sklon krivky dopytu je strmší. Rovnaký pokles ponuky o 300 NFT z 1,000 700 na 700 oproti 400 na XNUMX vedie k väčšiemu zvýšeniu ceny za NFT.
Ako je znázornené v grafe nižšie, cena sa zvýši z 15 ETH na 21 ETH zo zníženia 1,000 700 na 21, ale zvýši sa viac z 28 ETH na 700 ETH zo zníženia zo 400 na XNUMX.
Je jasné, že zablokovanie ukradnutých NFT by mohlo umelo zvýšiť cenu zbierky. Ak by niekto chcel využiť medzeru v bezpečnostnom systéme OpenSea falošným nahlásením mnohých NFT z tej istej zbierky ako ukradnutých (keďže nie sú potrebné žiadne dôkazy na nahlásenie ukradnutých NFT), cena zbierky by sa mohla dramaticky zvýšiť, ak je ponuka nízka. . Táto medzera by mohla vytvoriť príležitosti na manipuláciu s cenami na nelikvidnom trhu NFT.
V každom prípade blokovanie NFT nie je účinným opatrením na zastavenie hackovania alebo potrestanie hackera, ale naopak, vytvára viac nepriamych obetí a medzier pre manipulátorov trhu. Toto určite nie je správna cesta, existuje teda nejaké účinné bezpečnostné opatrenie?
Je potrebné zaviesť preventívne opatrenia a systém založený na dôkazoch
Súčasný bezpečnostný systém OpenSea nemá zavedené žiadne preventívne opatrenia na ochranu používateľov vopred. Všetky bezpečnostné opatrenia sú implementované až po hacknutí, čo je jeden z hlavných dôvodov, prečo sú neúčinné.
Na základe správania hackerov je čas podstatnou zložkou. Bezpečnostné opatrenia, ktoré môžu spomaliť hackera alebo včas informovať obete, sú kľúčom k víťazstvu v bitke. Tu sú niektoré účinnejšie preventívne opatrenia, ktoré môže OpenSea implementovať:
- Vytvorte systém včasného varovania, ktorý dokáže odhaliť abnormálnu aktivitu účtu a odosielať okamžité textové správy alebo e-mailové upozornenia, aby informoval používateľov o takejto aktivite, aby mali dostatok času na odpoveď. Napríklad, ak účet nikdy nekúpil alebo nepreviedol viac ako jeden NFT do jednej minúty; alebo ak účet nikdy v minulosti nevykonával žiadne aktivity počas určitého časového obdobia (tj časových pásiem, keď používateľ spí), výskyt takýchto aktivít bude detekovaný algoritmami strojového učenia. Majiteľ účtu si môže vybrať, či bude informovaný okamžite, alebo povoliť automatické uzamknutie účtu pre bezpečnosť.
- Poskytnúť používateľom možnosť obmedziť maximálny počet NFT prevodov alebo predajov povolených v časovom rámci, tj maximálne jeden prevod alebo predaj v rámci jednej minúty; alebo minimálny časový interval stanovený medzi každým prevodom alebo predajom, tj nasledujúci prevod alebo predaj sa môže uskutočniť len 15 minút po predchádzajúcom. Tieto opatrenia môžu zabrániť hackerom ukradnúť veľké množstvo NFT naraz.
- Vytvorte informačné panely podozrivých účtov, ktoré obetiam umožňujú okamžite pridať napadnuté účty a účty hackerov na verejnú kontrolu. Všetkým kupujúcim to poskytne informácie o podozrivých účtoch v reálnom čase a možnosť pred nákupom skontrolovať, či je predajca na zozname. Dôkazy, ako je policajná správa, si možno neskôr vyžiadať od obete, aby sa preukázalo, že nahlásené účty sú skutočne kompromitované.
Niektoré z týchto opatrení môžu spôsobiť falošné poplachy a nepríjemnosti. Ale vzhľadom na to, že ide o preteky času proti hackerom, pokiaľ ide o preventívne opatrenia, používatelia by boli radšej v bezpečí, ako by mali ľutovať, aby sa nestali ďalšou obeťou.
Bežné mylné predstavy o hackovaní kryptomien
Bežná mylná predstava o hackovaní kryptomien je, že „toto sa mi nestane, pretože moje povedomie o bezpečnosti je vysoké a používam pevnú peňaženku“. Môže byť pravda, že priamemu škodlivému hacknutiu by sa dalo predísť správnou bezpečnostnou praxou, ale ktokoľvek sa môže stať nepriamou obeťou hacku zameraného na niekoho iného. Keď sa počet hackov zvýši, šanca stať sa nepriamou obeťou je tiež oveľa vyššia.
Ďalšou mylnou predstavou je: „Pokiaľ nemám vo svojej horúcej peňaženke príliš veľa peňazí, nezáleží na tom, či je peňaženka ohrozená.“ Väčšina používateľov si neuvedomuje, že peňažná strata je len jedným z dôsledkov hacku. Strata Web3 peňaženky je ako strata celej úverovej histórie. Akékoľvek budúce výhody založené na minulých aktivitách, ako sú airdrops alebo prístup k pôžičkám a pákový efekt, by sa tiež mohli vypariť s ohrozenou peňaženkou.
Aj keď je blockchain jednou z najbezpečnejších finančných technológií, aké boli kedy vytvorené, škodlivé hacky smerom k platformám založeným na kryptomenách sú najväčšou hrozbou pre podnik Web3.
Vzhľadom na nezvratnú povahu blockchainu a nedostatok preventívnych bezpečnostných opatrení v OpenSea nie je ťažké nájsť najlepšie riešenie, s ktorým OpenSea prišla po Aukčný hack domény Ethereum je ponúknuť hackerovi 25% zisk z predaja výmenou za vrátenie ukradnutých NFT. Len vo svete trhu NFT môže byť zločinec za taký závažný zločin odmenený a nie potrestaný.
Ako monopol na trhu NFT môže OpenSea určite robiť lepšie ako toto a brať bezpečnostné opatrenia vážnejšie a poskytovať svojim používateľom väčšiu ochranu.
Názory a názory vyjadrené tu sú iba názormi autora a nemusia nevyhnutne odrážať názory portálu Cointelegraph.com. Každý krok investovania a obchodovania zahŕňa riziko, pri rozhodovaní by ste si mali urobiť vlastný prieskum.
Zdroj: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections