A nem helyettesíthető token (NFT) piac 2021 nyara óta virágzik, és ahogy az NFT árak az egekbe szöktek, úgy nőtt az NFT-ket célzó hackek száma is.
A legutóbbi nagy horderejű hack körülbelül 600 Ethert szippantott (ETH) értékű NFT-k Arthur0x-től, a DeFiance Capital alapítójától, amelyeket aztán eladtak az OpenSea-n.
A Chainalysis által közzétett 2022-es Crypto Crime Report rávilágított, hogy a tiltott címekről NFT-piacterekre küldött érték jelentősen megugrott 2021-ben, és meghaladta az 1.4 millió dollárt. Egyértelműen nőtt az NFT piacterekre küldött ellopott pénzeszközök száma is.
Tekintettel az NFT platformokra áramló illegális érték rohamos növekedésére, természetes a kérdés, hogy vannak-e biztonsági intézkedések és eljárások, és ha igen, akkor ezek az intézkedések hatékonyak-e a tulajdonosok védelmében.
Vessünk egy pillantást az OpenSea-ra, a legnagyobb NFT platformra és annak biztonsági intézkedéseire.
Az OpenSea biztonsági intézkedései nem védik a felhasználókat
Az OpenSea két fő biztonsági intézkedéssel rendelkezik, amelyek akkor lépnek életbe, ha egy fiókot „feltörtek” – zárolja a feltört fiókot és blokkolja az ellopott NFT-ket. Ez a két intézkedés nagyon hatástalan, ha közelebbről megvizsgáljuk őket.
A fiók zárolása az OpenSea webhelyén emberi jóváhagyás nélkül is elvégezhető mutatott itt viszont az NFT-k blokkolása hosszadalmas folyamattal jár, amikor fel kell emelni egy jegyet, és várni kell az OpenSea súgócsapatának válaszára.
Abban a helyzetben, amikor egy hacker már feltörte a pénztárcát, és éppen az NFT-k átvitelét végzi, a fiók zárolása csak akkor lesz hatékony, ha azt azelőtt megtörténik, hogy a hacker mindent átadna.
Hasonlóképpen, az NFT-k blokkolása is csak azelőtt hatásos, hogy a hacker eladja az NFT-ket egy másik vevőnek. Ami még rosszabb, ez a biztonsági intézkedés közvetett áldozatok sorozatát hozza létre, akik blokkolt NFT-khöz jutnak, amelyeket nem lehet eladni vagy átruházni. Ennek az az oka, hogy az OpenSea-ben felvett jegyek válaszideje legalább egy nap. Mire az OpenSea blokkolja az NFT-ket, már eladták volna őket egy másik vevőnek, aki most a bűncselekmény új áldozata lesz.
Az Arthur17x-től ellopott 0 Azuki esetében 15-öt ugyanabban a percben, kettőt pedig három perccel később loptak el. Az átlagos idő, amíg ezek az ellopott NFT-k a hacker pénztárcájában maradtak, mielőtt eladták őket, 43 perc. Az OpenSea biztonsági intézkedései semmilyen módon nem reagálnak és nem elég gyorsak az áldozat tájékoztatásához és a hacker megállításához; sem tudják elég gyorsan tájékoztatni a vásárlókat ahhoz, hogy megakadályozzák az ellopott NFT-k megvásárlását és közvetett áldozattá válását.
Az ellopott NFT-k blokkolása közvetett áldozatokat eredményez
Közvetett áldozat az, aki nem a feltörés célpontja, de közvetetten elszenvedi az ellopott NFT-k blokkolása által okozott pénzügyi veszteségeket. Amint az számos közelmúltbeli NFT-hackből látható, az NFT-ket mindig azelőtt adják el, hogy a blokkot az OpenSea implementálja. Az NFT-k túl késői blokkolásának következménye az, hogy közvetett áldozatokat és több ember veszteségét okozza.
Hogy részletesebben szemléltetjük, hogyan vásárolhat valaki egy ellopott NFT-t, és válhat egy feltörés közvetett áldozatává, íme három gyakori eset:
Case 1: Alice vett egy NFT-t, de csak később tudta meg, hogy az egy ellopott eszköz. Az NFT le van tiltva, és Alice nem tudja eladni vagy átadni az OpenSea-n. Ezután támogatási jegyet emel. Néhány hét elteltével az OpenSea Trust & Safety csapata felajánlja a 2.5%-os platformdíj visszatérítését; és esetleg szerencsés esetben a lopást bejelentő áldozat email címe. Ezután valószínűleg hosszas megbeszélést folytat az áldozattal, hogy megtárgyalja a blokk felemelésének lehetőségét, ami valószínűleg sehova sem vezet.
Alice továbbra is eladhatja az NFT-t más piacokon, de az eladások mennyisége nagyon alacsony ennél a kollekciónál, és nincs olyan vevő, aki tisztességes árat tudna kínálni az OpenSea-n kívül más platformokon.
Case 2: Alice több ajánlatot is tett, miközben licitált egy gyűjteményből származó NFT-kre. Az egyik ajánlatot a hacker elfogadta, majd az áldozat pénztárcájába kapta a licit összegét, és hozzálátott a pénztárca kiürítéséhez. Az NFT-t később az áldozat általi jogosulatlan tranzakciókból ellopott vagyon részeként blokkolták.
Az ehhez hasonló esetek gyakran előfordulnak, mert a listán szereplő NFT-k nem vihetők át, hacsak nem törlik a listát. A hacker, akire időkényszer van, nagyobb valószínűséggel fogad el egy ajánlatot, és megkapja az eladásból származó bevételt, és átutalja a pénzt. Az alábbi eset azt mutatja, hogy a közvetett áldozat teljes NFT-gyűjteményét az OpenSea magyarázat nélkül blokkolta.
Itt van a szálam a hogyanról @nyílt tenger indokolatlanul blokkolta a fiókomat, és lefagyasztotta az összes NFT-met az ajánlatom után 40 weth for @BoredApeYC #6267 elfogadva.
Nagyon fontosnak tartom, hogy ezt az ügyet elterjesszük az NFT közösség körében!
Kezdjük ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) November 10, 2021
Case 3: Alice már jó ideje birtokol egy NFT-t, és hirtelen blokkolják, és „gyanús tevékenység miatt bejelentett” jelöléssel látják el. Az eladó fiókja nem sérült, és a tranzakció egy ideje történt. Mivel az ellopott NFT bejelentéséhez és blokkolásához nincs bizonyíték, bárki küldhet e-mailt az OpenSea csalás elleni csapatának, hogy blokkolja az NFT-t.
Habár a későbbiekben is kérhető rendőrségi jelentés, nincs sem az OpenSea egyértelmű nyilatkozata a feltörés bizonyításához szükséges bizonyítékokról, sem olyan feltételekről, amelyek mellett a hamisan bejelentett ellopott NFT azonosítható és kiemelhető lenne a blokkból. Az ellopott NFT-k hamis bejelentésének nincs következménye.
Az NFT-ket gyakran blokkolják magyarázat vagy bizonyíték, például a közvetett áldozatnak nyújtott rendőrségi jelentések nélkül. Elméletileg ezekkel az NFT-kkel továbbra is lehet kereskedni más platformokon, de tekintettel az OpenSea monopóliumára a piacon, amely a teljes NFT kereskedési volumen 95%-át jelenti, bármely NFT blokkolása az OpenSea-n majdnem egyenlő azzal, mintha örökre kivonnák őket a piacról.
Az NFT-k blokkolása mesterségesen növelheti az árat
Az ellopott NFT-k kereskedésének blokkolásának veszélye a legnagyobb NFT-platformon, az OpenSea-n a kínálat tartós csökkenése. Alapján kínálat és kereslet törvénye a közgazdaságtan szerint, ha csökken a kínálat, akkor az ár emelkedik.
Például az Azuki-gyűjtemény 10,000 1,100 NFT-t tartalmaz, és jelenleg csak 0 kapható az OpenSea-n. Az Arthur17x feltörése 17-et lopott el és blokkolt. Bár a 1.5 NFT csak 1,100%-a az 22 forgalomban lévő kínálatnak, az ár már a feltörést követően növekvő tendenciát mutatott. A feltörés március XNUMX-én történt és az ár csúcsos március 28-án 20.96 E-ig a március 31-i airdrop bejelentés előtt – 55%-os növekedés egy héten belül.
Bár a 17 ellopott NFT közül nincs mindegyik blokkolva, mivel Arthurnak sikerült visszaszereznie néhányat a közvetett áldozatokkal folytatott tárgyalások révén, hogy visszavásárolják őket, a jövőbeni hasonló formájú feltörések folyamatosan történnek majd, és a blokkolt NFT-k halmozott száma csak növekedhet, ahogy a feltörések folytatódnak. nem léteznek eljárások a blokkolás feloldására.
Az Azukit ismét példaként használva az alábbi grafikon összegyűjti az eladások történelmi számát és az átlagos árat a keresleti görbe létrehozásához, és feltételezi, hogy a kínálati görbe lineáris. A keresleti és kínálati görbék metszéspontja az egyensúlyi ár.
A kínálat folyamatos csökkenésével a keresleti görbe meredeksége mellett az áremelkedés sebessége is gyorsabbá válik. A kínálat 300 NFT-vel egyenlő csökkenése 1,000-ről 700-ra, illetve 700-ról 400-ra, az utóbbiaknál nagyobb áremelkedést eredményez.
Amint az alábbi grafikonon látható, az ár 15 ETH-ról 21 ETH-ra nő 1,000-ről 700-ra, de 21 ETH-ról 28 ETH-ra 700-ról 400-ra.
Jól látható, hogy az ellopott NFT-k blokkolása mesterségesen növelheti a gyűjtemény árát. Ha valaki az OpenSea biztonsági rendszerében rejlő kiskapu előnyeit akarná kihasználni azzal, hogy hamisan jelentett be sok NFT-t ugyanabból a gyűjteményből, mint amit elloptak (mivel az ellopott NFT-k bejelentéséhez nincs szükség bizonyítékra), a gyűjtemény ára drámaian megemelkedhet, ha a kínálat alacsony. . Ez a kiskapu lehetőséget teremthet az ármanipulációra az illikvid NFT-piacon.
Mindenesetre az NFT-k blokkolása nem hatékony intézkedés a hack megállítására vagy a hacker megbüntetésére, hanem éppen ellenkezőleg, több közvetett áldozatot és kiskapukat teremt a piaci manipulátorok számára. Ez biztosan nem járható út, szóval van-e hatékony biztonsági intézkedés?
Megelőző intézkedésekre és bizonyítékokon alapuló rendszerre van szükség
A jelenlegi OpenSea biztonsági rendszerben nincsenek megelőző intézkedések a felhasználók előzetes védelmére. Az összes biztonsági intézkedést csak a feltörés után hajtják végre, ez az egyik fő oka annak, hogy nem hatékonyak.
A hackerek viselkedése alapján az idő lényeges összetevője. A csata megnyerésének kulcsa a biztonsági intézkedések, amelyek lelassíthatják a hackert, vagy időben tájékoztathatják az áldozatokat. Íme néhány hatékonyabb megelőző intézkedés, amelyet az OpenSea végrehajthat:
- Hozzon létre egy korai figyelmeztető rendszert, amely képes észlelni a szokatlan fióktevékenységeket, és azonnali szöveges üzeneteket vagy e-mailes figyelmeztetéseket küldeni, hogy tájékoztassa a felhasználókat az ilyen tevékenységekről, hogy elegendő idejük legyen válaszolni. Például, ha a számla soha nem vásárolt vagy utalt át egynél több NFT-t egy percen belül; vagy ha a fiók a múltban soha nem végzett tevékenységet egy adott időszakban (azaz időzónák, amikor a felhasználó alszik), az ilyen tevékenységek előfordulását a gépi tanulási algoritmusok észlelik. A számlatulajdonos dönthet úgy, hogy azonnal értesíti, vagy engedélyezheti a számla automatikus zárolását a biztonság érdekében.
- Lehetővé teszi a felhasználók számára, hogy korlátozzák az NFT-átutalások vagy -értékesítések megengedett maximális számát egy időkereten belül, azaz legfeljebb egy átutalást vagy eladást egy percen belül; vagy az egyes átruházások vagy eladások között meghatározott minimális időintervallum, azaz a következő átruházás vagy eladás csak az előző után 15 perccel történhet meg. Ezekkel az intézkedésekkel megakadályozható, hogy a hackerek egyszerre nagy számú NFT-t lopjanak el.
- Hozzon létre gyanús fiók-irányítópultokat, amelyek lehetővé teszik az áldozatok számára, hogy azonnal hozzáadhassanak feltört fiókokat és hackerfiókokat nyilvános ellenőrzés céljából. Ez minden vásárló számára valós idejű információkat biztosít a gyanús fiókokról, és vásárlás előtt ellenőrizheti, hogy az eladó szerepel-e a listán. Később bizonyítékokat, például rendőrségi feljelentést lehet kérni az áldozattól annak bizonyítására, hogy a bejelentett számlák valóban feltörtek.
Ezen intézkedések némelyike téves riasztást és kényelmetlenséget okozhat. De mivel a megelőző intézkedések terén versenyfutás folyik az idővel a hackerekkel, a felhasználók inkább óvakodjanak, mint sajnálják, hogy elkerüljék a következő áldozattá válást.
Gyakori tévhitek a kripto hackelésről
Általános tévhit a kripto-hackeléssel kapcsolatban, hogy „velem ez nem fog megtörténni, mert magas a biztonsági tudatosságom, és kemény pénztárcát használok”. Lehet, hogy igaz, hogy a közvetlen rosszindulatú feltörés elkerülhető a helyes biztonsági gyakorlattal, de bárki válhat közvetett áldozatává egy mást célzó feltörésnek. A hackek számának növekedésével a közvetett áldozattá válás esélye is sokkal nagyobb.
Egy másik tévhit: „amíg nem tartok túl sok pénzt a forró pénztárcámban, nem számít, ha a pénztárcát veszélybe sodorják.” A legtöbb felhasználó nem veszi észre, hogy a pénzbeli veszteség csak az egyik következménye a feltörésnek. Egy Web3 pénztárca elvesztése olyan, mint a teljes hiteltörténet elvesztése. A múltbeli tevékenységeken alapuló jövőbeli előnyök, mint például az airdrops vagy a kölcsönökhöz és tőkeáttételhez való hozzáférés, szintén elpárologhatnak a veszélyeztetett pénztárcával.
Bár a blokklánc az egyik legbiztonságosabb pénzügyi technológia, amelyet valaha készítettek, a kriptoalapú platformok elleni rosszindulatú feltörések jelentik a legnagyobb veszélyt a Web3 vállalkozásra.
Tekintettel a blokklánc visszafordíthatatlan természetére és az OpenSea megelőző biztonsági intézkedéseinek hiányára, nem nehéz megtalálni a legjobb megoldást, amelyet az OpenSea a Ethereum domain aukciós feltörés 25%-os nyereséget ajánl fel a hackernek az eladásból az ellopott NFT-k visszaszolgáltatásáért cserébe. Csak az NFT piac világában kaphat egy bűnöző jutalmat, nem pedig büntetést egy ilyen súlyos bűncselekményért.
Az NFT-piac monopóliumaként az OpenSea ennél minden bizonnyal jobban tud, és komolyabban veszi a biztonsági intézkedéseket, és nagyobb védelmet nyújt felhasználóinak.
Az itt kifejtett nézetek és vélemények kizárólag a szerző véleményei és véleményei, és nem feltétlenül tükrözik a Cointelegraph.com véleményét. Minden befektetési és kereskedési lépés kockázattal jár, a döntés meghozatalakor saját kutatásokat kell végeznie.
Forrás: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections