Пазарот на незаменливи токени (NFT) цвета од летото 2021 година и како што цените на NFT вртоглаво пораснаа, исто така се зголеми и бројот на хакови насочени кон NFT.
Најновиот хак од висок профил ископал приближно 600 етери (ЕТХ) во вредност од NFT од Arthur0x, основачот на DeFiance Capital, кои потоа беа продадени на OpenSea.
Извештајот за крипто криминал од 2022 година, објавен од Chainalysis, истакна дека вредноста испратена до пазарите на NFT со незаконски адреси значително скокна во 2021 година, достигнувајќи нешто помалку од 1.4 милиони долари. Имаше и јасно зголемување на украдените средства испратени до пазарите на NFT.
Со оглед на загрижувачкиот брз пораст на недозволената вредност што се влева во платформите NFT, природно е да се запрашаме дали се воспоставени безбедносни мерки и процедури и ако се, дали овие мерки се ефективни за заштита на сопствениците.
Ајде да погледнеме на OpenSea, најголемата платформа NFT и нејзините безбедносни мерки.
Безбедносните мерки на OpenSea не можат да ги заштитат корисниците
OpenSea има две главни безбедносни мерки кои започнуваат откако сметката е „хакирана“ - заклучување на компромитирана сметка и блокирање на украдените NFT. Овие две мерки се многу неефикасни кога се гледаат внимателно.
Заклучувањето на сметката може да се направи на веб-локацијата OpenSea без човечко одобрение како прикажани овде, додека блокирањето на NFT вклучува долг процес на подигање билет и чекање за одговор тимот за помош на OpenSea.
Во ситуација кога хакер веќе го компромитирал паричникот и е во процес на пренесување на NFTs надвор, заклучувањето на сметката ќе биде ефективно само ако тоа се направи пред хакерот да пренесе сè надвор.
Слично на тоа, блокирањето на NFT е исто така ефективно само пред хакерот да ги продаде NFT на друг купувач. Она што е уште полошо е што оваа безбедносна мерка создава низа индиректни жртви кои завршуваат со блокирани NFT кои не можат да се продадат или пренесат. Тоа е затоа што времето за одговор за билети подигнати во OpenSea е најмалку еден ден. До моментот кога NFT ќе бидат блокирани од OpenSea, тие веќе би биле продадени на друг купувач кој сега станува нова жртва на злосторството.
Во случајот со 17-те украдени Azuki од Arthur0x, 15 беа украдени во истата минута, а две беа украдени три минути подоцна. Просечното време кога овие украдени NFT останале во паричникот на хакерот пред да бидат продадени е 43 минути. Безбедносните мерки од OpenSea на никаков начин не реагираат и доволно брзи за да ја информираат жртвата и да го запрат хакерот; ниту тие можат да ги информираат купувачите доволно брзо за да ги спречат да ги купат украдените NFT и да станат индиректни жртви.
Блокирањето на украдените NFT создава индиректни жртви
Индиректна жртва е некој кој не е цел на хакирањето, но индиректно страда од финансиските загуби предизвикани од блокирањето на украдените NFT. Како што се гледа од многу неодамнешни хакери на NFT, NFT-ите секогаш се продаваат пред блокот да биде имплементиран од OpenSea. Последицата од предоцна блокирање на NFT е тоа што создава индиректни жртви и повеќе загуби за повеќе луѓе.
За да се илустрира подетално како некој би можел да купи украден NFT и да стане индиректна жртва на хакирање, еве три вообичаени случаи:
Случај 1: Алис купи NFT, но дури подоцна дозна дека е украдено средство. NFT е блокиран и Алис не може да го продаде или пренесе на OpenSea. Таа потоа продолжува да подига билет за поддршка. По неколку недели, тимот на OpenSea Trust & Safety нуди рефундирање на таксите за платформата од 2.5%; а можеби и е-маил адресата на жртвата која ја пријавила кражбата ако има среќа. Потоа, таа најверојатно ќе има долга дискусија со жртвата за да преговара за можноста за укинување на блокот, што најверојатно нема да заврши никаде.
Алис сè уште може да го продава NFT на други пазари, но обемот на продажба е многу низок за оваа конкретна колекција и нема купувач кој може да понуди фер цена на платформи различни од OpenSea.
Случај 2: Алис даде повеќе понуди додека наддаваше за NFT од колекција. Една од понудите била прифатена од хакерот, кој потоа ја примил исплатата од понудата во паричникот на жртвата и продолжил да го расчистува паричникот. NFT подоцна беше блокиран како дел од украдените средства од неовластени трансакции од страна на жртвата.
Случаите како овој често се случуваат бидејќи наведените NFT не можат да се пренесат освен ако огласот не се откаже. Хакерот, кој е под притисок на времето, ќе има поголема веројатност да прифати понуда и да ги добие приходите од продажбата и да ги пренесе парите надвор. Случајот подолу покажува како целата колекција NFT на индиректната жртва била блокирана од OpenSea без објаснување.
Еве ја мојата тема за тоа како @opensea неразумно ми ја блокираше сметката и ги замрзна сите мои NFT по мојата понуда 40 вети за @BoredApeYC #6267 беше прифатен.
Мислам дека е многу важно да се шири овој случај меѓу NFT заедницата!
Да почнеме ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Ноември 10, 2021
Случај 3: Алис поседува NFT подолго време и одеднаш тој е блокиран и означен како „пријавен за сомнителна активност“. Сметката на продавачот не е загрозена и трансакцијата се случи пред малку. Бидејќи не се потребни докази за да се пријави украдена NFT и да се блокира, секој може да испрати е-пошта до тимот за борба против измами на OpenSea за да го блокира секој NFT.
Иако подоцна може да се побара полициски извештај, нема јасна изјава од OpenSea за да се наведат доказите потребни за да се докаже хакирањето, ниту услов под кој лажно пријавен украден NFT може да се идентификува и да се отстрани од блокот. Нема последици за лажно пријавување украдени NFT.
НФТ честопати се блокирани без објаснување или докази, како што се полициски извештаи доставени до индиректната жртва. Теоретски, овие NFT сè уште можат да се тргуваат на други платформи, но со оглед на монополот на OpenSea на пазарот, со 95% од вкупниот обем на тргување NFT, блокирањето на кој било NFT на OpenSea е речиси еднакво на нивно отстранување од пазарот засекогаш.
Блокирањето на NFT може вештачки да ја зголеми цената
Опасноста од блокирање на украдените NFT од тргување на најголемата NFT платформа OpenSea е трајното намалување на понудата. Врз основа на законот за понуда и побарувачка во економската теорија, кога понудата се намалува, цената расте.
Како пример, колекцијата Azuki има 10,000 NFT и моментално само 1,100 се на продажба на OpenSea. Хак Arthur0x резултираше со украдени и блокирани 17. Иако 17 NFT се само околу 1.5% од 1,100 циркулирачки залихи, цената веќе покажа тренд на зголемување по хакирањето. Хакирањето се случи на 22 март и цената достигна врв на 28 март до 20.96 E пред објавувањето на падот на воздухот на 31 март - зголемување од 55% во рок од една недела.
Иако не се блокирани сите 17 украдени NFT, бидејќи Артур успеа да врати некои преку преговарање со индиректните жртви за да ги откупи, идните хакери во слична форма ќе се случуваат континуирано и кумулативниот број на блокирани NFT може да се зголемува само како што продолжуваат хакирањето и нема процедури за нивно деблокирање.
Повторно користејќи го Azuki како пример, графиконот подолу го собира историскиот број на продажби и просечната цена за да се создаде крива на побарувачка и се претпоставува дека кривата на понуда е линеарна. Точката каде што се сечат кривите на понудата и побарувачката е рамнотежната цена.
Како што понудата континуирано се намалува, брзината на зголемување на цената станува се поголема како што наклонот на кривата на побарувачка станува сè поголем. Еднакво намалување од 300 NFT во понудата од 1,000 на 700 наспроти 700 на 400 резултира со поголем пораст на цената за второто.
Како што е прикажано на графиконот подолу, цената се зголемува од 15 ETH на 21 ETH од намалувањето од 1,000 на 700, но се зголемува повеќе од 21 ETH на 28 ETH од намалувањето од 700 на 400.
Јасно е да се види дека блокирањето на украдените NFT може вештачки да ја зголеми цената на колекцијата. Ако некој сака да ја искористи дупката во безбедносниот систем OpenSea со лажно пријавување на многу NFT од истата колекција како и украдените (бидејќи не се потребни докази за да се пријават украдени NFTs), цената на колекцијата може драматично да се зголеми ако понудата е мала . Оваа дупка може да создаде можности за манипулација со цените на неликвидниот пазар на NFT.
Во секој случај, блокирањето на NFT не е ефикасна мерка за запирање на хакирањето или казнување на хакерот, туку напротив, создава повеќе индиректни жртви и дупки за пазарните манипулатори. Ова секако не е начинот на кој треба да се оди, па дали има некоја ефикасна безбедносна мерка?
Треба да се воспостават превентивни мерки и систем заснован на докази
Сегашниот безбедносен систем OpenSea нема превентивни мерки за однапред да ги заштити корисниците. Сите безбедносни мерки се спроведуваат само по хакирањето, што е една од главните причини зошто тие се неефикасни.
Врз основа на однесувањето на хакерите, времето е суштинска компонента. Безбедносните мерки кои можат да го забават хакерот или рано да ги информираат жртвите се клучот за победа во битката. Еве неколку поефикасни превентивни мерки што може да ги спроведе OpenSea:
- Создадете систем за рано предупредување кој може да открие абнормална активност на сметката и да испраќа инстант текстуални пораки или предупредувања преку е-пошта за да ги информира корисниците за таквата активност за да имаат доволно време да одговорат. На пример, ако сметката никогаш не купила или префрлила повеќе од еден NFT во рок од една минута; или ако сметката никогаш немала активности во минатото во одреден временски период (т.е. временски зони кога корисникот спие), појавата на такви активности ќе биде откриена со алгоритми за машинско учење. Сопственикот на сметката може да избере веднаш да биде информиран или да дозволи сметката автоматски да се заклучи заради безбедност.
- Обезбедете им на корисниците опција да го ограничат максималниот број на NFT трансфери или продажби дозволени во временска рамка, т.е. максимум еден пренос или продажба во рок од една минута; или минимален временски интервал наметнат помеѓу секој трансфер или продажба, т.е. следниот трансфер или продажба може да се случи само 15 минути по претходната. Овие мерки можат да ги спречат хакерите да украдат голем број NFT со едно движење.
- Создадете сомнителни контролни табли за сметки што им овозможуваат на жртвите веднаш да додаваат компромитирани сметки и сметки на хакери за јавен преглед. Ова ќе им даде на сите купувачи информации во реално време за сомнителни сметки и можност да проверат дали продавачот е на списокот пред да купат. Подоцна од жртвата може да се побараат докази како полициски извештај за да се докаже дека пријавените сметки се навистина компромитирани.
Некои од овие мерки може да создадат лажни аларми и непријатности. Но, со оглед на тоа што е трка на време против хакерот кога станува збор за превентивни мерки, корисниците повеќе би сакале да бидат безбедни отколку да жалат за да избегнат да станат следната жртва.
Вообичаени заблуди за хакирањето на крипто
Вообичаена заблуда за крипто хакирањето е дека „ова нема да ми се случи бидејќи мојата безбедносна свест е висока и користам тврд паричник“. Можеби е точно дека директен злонамерен хак може да се избегне преку добра безбедносна практика, но секој може да стане индиректна жртва на хакирање насочено кон некој друг. Кога бројот на хакери се зголемува, шансата да станете индиректна жртва е исто така многу поголема.
Друга заблуда е, „се додека не чувам премногу пари во мојот врел паричник, не е важно дали паричникот е компромитиран“. Она што повеќето корисници не успеваат да го сфатат е дека паричната загуба е само една од последиците од хакирањето. Губењето на Web3 паричник е како губење на целата кредитна историја. Сите идни придобивки засновани на минати активности како што се airdrops или пристап до заеми и потпора, исто така, може да испарат со компромитираниот паричник.
Иако блокчејнот е една од најбезбедните финансиски технологии некогаш создадени, малициозните хакери кон платформите базирани на крипто се најголемата закана за потфатот на Web3.
Со оглед на неповратната природа на блокчејн и недостатокот на превентивни безбедносни мерки на OpenSea, не е тешко да се види најдоброто решение до кое OpenSea дојде по Хак за аукција на домен Ethereum е да му понуди на хакерот 25% профит од продажбата во замена за враќање на украдените NFT. Само во светот на пазарот на NFT, криминалецот може да биде награден наместо казнет за такво сериозно кривично дело.
Како монопол на пазарот NFT, OpenSea сигурно може да направи подобро од ова и посериозно да ги преземе безбедносните мерки и да обезбеди поголема заштита на своите корисници.
Ставовите и мислењата изразени тука се само на авторот и не ги одразуваат ставовите на Cointelegraph.com. Секој потег на инвестиции и тргување вклучува ризик, треба да спроведете свое истражување при донесување на одлука.
Извор: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections