У лютому 2022 року OpenSea став жертвою великої фішингової атаки що призвело до понад 1.7 мільйона доларів США немислимі токени (NFT) крадуть у користувачів. Це був не єдиний інцидент: повідомлялося, що користувачі Blockchain втратив 3.9 мільярда доларів через шахрайство лише в 2022 році
Коли ми вступили в 2023 рік, пролунав хор обіцянок підвищити безпеку в криптопросторі. Але поки що ситуація суттєво не змінилася. Компанії, які використовують блокчейн, все ще недостатньо роблять для запобігання шахрайству.
Якщо технологія блокчейн отримає масове впровадження, компаніям доведеться змінити свій підхід знизу вгору. Зосереджуючись на освіті та впроваджуючи кращі процеси для виявлення зловмисної діяльності, ці платформи можуть краще обслуговувати своїх клієнтів, оскільки простір продовжує зростати.
Блокчейн-платформи повинні навчитися розпізнавати зловмисну активність
У випадку злому OpenSea жертв попросили підписати неповний договір, здавалося б, на вимогу платформи. Хоча основна інфраструктура OpenSea не була зламана, підроблені облікові записи змогли скористатися перевагами протоколу Wyvern з відкритим кодом. Тоді хакери змогли використати підпис власника бути переданими на фальшивий контракт, який надавав їм право власності без необхідності платити за NFT.
За темою: 10 прогнозів для криптовалюти в 2023 році
OpenSea нещодавно скасувала деякі свої попередні політики після того, як це було повідомляє що 80% NFT, викарбуваних безкоштовно на платформі, були плагіатом або спамом. OpenSea також покладається на довіру до розробників, які використовують його API, що не є надійним способом оцінки ризику. Ці розробники можуть використовувати API зі зловмисною метою, щоб скористатися тим, що користувачі підписують контракти, яких вони не читають.
Розумні контракти є невід’ємною частиною механізму блокчейну, і їх можна знайти всюди, від бірж NFT до справжніх децентралізованих програм. Розуміння того, як ці контракти функціонують, є обов’язковим для забезпечення безпеки користувачів. Замість того, щоб заново винаходити колесо, компанії можуть запроваджувати стандартні протоколи, щоб гарантувати стійкість смарт-контрактів і захист від зловмисної діяльності. Звідти компанії можуть скористатися перевагами гнучкої природи блокчейну та налаштувати свій контракт, наприклад, налаштувати гаманці з кількома підписами та регулярне модульне тестування.
Остерігайтеся розповсюдження спаму
Якщо ви шукаєте популярну колекцію Mutant Hounds, представлену в найкращих колекціях OpenSea, немає вказівок на те, яка колекція є законною. Відсутність перевірки може призвести до створення підроблених колекцій, штучно збільшуючи ціну, щоб вона виглядала законною та заплутаною для користувачів. Фальшиві колекції часто розповсюджуються через airdrops, призначені для пошуку за допомогою функції пошуку на платформі NFT.
За темою: Що Пол Кругман помиляється щодо криптовалюти
Колекції спаму також можуть надсилати користувачам NFT, які вони не просили, через airdrops. Користувачі будуть перенаправлені не через платформу, на якій вони зберігають колекцію, наприклад OpenSea, а через інший сайт, де відбувається шахрайство.
Це звичайний ризик, який можна усунути за допомогою платформ, що відстежують таку діяльність, або через краудсорсингову базу даних, яка відстежує шахрайські облікові записи, або за допомогою адміністративного інструменту, який знає, на що слід звернути увагу, і постійно стежить за новими шахрайствами. Крім того, платформи NFT можуть вимагати, щоб ставки були в тій самій валюті, що й лістинг, щоб уникнути плутанини. Багато користувачів були ошукані, прийнявши пропозицію в менш цінній валюті, ніж та, у якій вони виставили NFT на продаж. Блокчейн-платформи можуть покладатися на дані, щоб виявляти свої викиди, позначаючи підозрілу активність, засновану на нерегулярній активності серед невеликої кількості власників.
Звичайно, слід зазначити, що такі компанії, як OpenSea, перебувають у складному становищі, коли їм доводиться контролювати шахрайські облікові записи, які карбуються на їхній платформі. У багатьох випадках це зводиться до необхідності додаткової перевірки офіційної колекції.
Онбординг є невід’ємною частиною бізнес-плану
Онбординг повинен бути основною частиною досвіду блокчейну для ветеранів і початківців користувачів. Подібно до смарт-контрактів, встановлення чітких інструкцій для користувачів і висвітлення потенційних ризиків слід розглядати як одну з фундаментальних передових практик для забезпечення безпеки користувачів. Ці посібники слід регулярно переглядати, беручи до уваги оцінку ризиків, і відповідним чином коригувати в міру розвитку блокчейна.
Серед досвідчених користувачів ініціалізм «DYOR» є звичним явищем серед користувачів блокчейну. Як абревіатура від «виконайте власні дослідження», цей вислів став негласним правилом для тих, хто взаємодіє з потенційними інвестиційними можливостями. Тим не менш, новачкам може бути складно знати, з чого саме почати. Існує ряд суперечливих відомостей від впливових осіб у просторі, які часто просувають наступну велику справу та здійснюють ризиковані інвестиції, що призводить до того, що користувачі стають жертвами шахраїв або втрачають активи. Інструкції та навчальні матеріали мають бути легкодоступними, підібраними відповідно до системи цінностей кожної платформи та унікальних ризиків.
Найкращі практики мають бути пріоритетом для всіх блокчейн-платформ
Оскільки блокчейн-спільнота зараз долає труднощі, що розвиваються, компаніям слід взяти важкі уроки, засвоєні в результаті основних експлойтів, таких як OpenSea, і вдосконалити свої протоколи безпеки, щоб гарантувати, що подібне більше не повториться. Відправною точкою має бути вивчення тонкощів базової технології, від смарт-контрактів до того, як захистити свою вихідну фразу. Звідти ви дізнаєтеся, як застосовувати та підтримувати найкращі практики, як-от виявлення зловмисної діяльності та тих, що сіють хаос. Можливо, все, що знадобилося, щоб запобігти деяким з останніх масштабних зломів, це просто щоб хтось помітив, що щось здається не так.
Майкл Р. Пірс є співзасновником і генеральним директором NotCommon. Він отримав ступінь BBA та MBA в Техаському університеті в Остіні.
Ця стаття призначена для загальної інформації та не призначена і не повинна розглядатися як юридична чи інвестиційна порада. Погляди, думки та думки, висловлені тут, є лише автором і не обов’язково відображають або представляють погляди та думки Cointelegraph.
Джерело: https://cointelegraph.com/news/opensea-must-become-more-ambitious-about-fighting-hackers