Пограбування NFT стають новинами. Ось як можна захиститися, розповідає Індра Вільтракіте, співзасновник Повстанці.
Фішингові атаки не нові. Іноді їх легко помітити. Як коли приходять підказки з проханням надіслати свою банківську інформацію принцу з далекої чужини. Але іноді їх важче помітити. Наприклад, коли запит на звільнення ваших активів надходить із, здавалося б, надійного джерела.
Ось що нещодавно сталося у випадку крадіжки з фішингу NFT. Користувачі довіряли схемі, в якій були задіяні Платформа Premint. Користувачі погодилися на підказку дозволити невідомій організації контролювати їхні активи.
17 липня 2022 року популярну NFT-платформу Premint NFT зламали. Викрадено 314 NFT на суму 430,000 XNUMX доларів. Зловмисники змогли встановити шкідливий код на офіційний сайт Premint. Код наказував користувачам «налаштувати схвалення для всіх» під час підключення своїх цифрових гаманців до сайту. Це дозволило зловмисникам отримати доступ до їхніх криптоактивів і викрасти їхні NFT.
Новий світ NFT – колекція цифрового мистецтва – може бути в черзі для нових фішингових атак.
Пограбування NFT: що крадуть?
Зазвичай, коли ми чуємо слово NFT, ми думаємо про цифрове зображення, яке є унікальним і пов’язане з блокчейном. Однак це більш детально, ніж це. Говорячи про NFT, завжди наголошується на відстеженні власності та унікальності. Але ніде в стандарті NFT не вказано, що представляють унікальні токени. По суті, токени є лише унікальними номерами. Саме автори колекції NFT визначають, що представляють ці токени.
Крім того, зображення зазвичай ніколи не «завантажуються в криптовалют.” Вони не є частиною контракту NFT. Хеш зображення можна записати в контракт, щоб створити зв’язок із тим, що представляє NFT. Крім того, NFT як стандарт не турбується про вартість чи операції купівлі та продажу NFT. Він надає лише стандартні методи передачі права власності на NFT. Це ринки та спільнота, які спираються на це та розглядають NFT як товар.
Як товари, NFT здебільшого купують як предмети колекціонування, які часто використовуються в інвестиційних цілях. Лише нещодавно вони розробили практичні випадки використання. Прикладом є цифрові модні носії у Метавсесвіті.
Що можна зробити в майбутньому?
Хто винен? Це користувач? Або платформа, яка дозволила зловмиснику ініціювати шахрайську транзакцію?
У цьому конкретному випадку зловмисники змогли відобразити вміст, щоб обманом змусити користувача підписати шахрайську транзакцію.
Розпливчаста, правдоподібна причина транзакції в поєднанні з довірою до веб-сайту була достатньою, щоб обдурити багатьох. Тим не менш, нерозумно очікувати, що середній користувач Web3 може його обійти. Більшість не мали достатнього технічного досвіду, щоб помітити, що транзакція насправді надає комусь доступ до його чи її NFT.
Користувачів можна обманом змусити підписувати транзакції, якщо це ініціює надійний веб-сайт. Активи в гаманцях користувачів настільки ж безпечні, як і ВСІ децентралізовані програми (dapps), з якими користувач взаємодіє разом. Ідентичні випадки, ймовірно, траплятимуться і в майбутньому.
Шляхи безпеку можна покращити:
1. Гаманці можуть відображати більше орієнтованої на людину інформації для відомих типів взаємодії контрактів. Наприклад, величезне червоне повідомлення: «Гей, ти комусь віддаєш контроль над усіма своїми NFT!» Це було б набагато краще, ніж поточне «ВСТАНОВИТИ СХВАЛЕННЯ ДЛЯ ВСІХ» сірим у вікні підтвердження транзакції MetaMask.
2. Веб-сайти можуть перераховувати та публікувати контрактні взаємодії, які вони можуть ініціювати. Провайдерам подобається MetaMask міг відмовитися від будь-яких нестандартних операцій.
Пограбування NFT: як користувачі можуть захистити себе
– Перегляньте деталі транзакції перед підписанням. Це не захистить користувача на 100% часу. Але вирішальним є перегляд того, яким методом укладено контракт.
– Розділіть NFT (та інші криптоактиви) на кілька гаманців. Якщо користувачів обманом змусять надати комусь контроль над своїми активами в одному кошелек, принаймні активи в інших гаманцях у безпеці. Це до тих пір, поки ви не поділитеся своїм особистим ключем або вихідною фразою.
– Використовуйте різні гаманці для різних додатків. Це не завжди практично, якщо dapp призначений для взаємодії з іншими активами в гаманці. Однак важливо намагатися зберігати лише актуальне.
Про автора
Індре Вільтракіте є співзасновником модного підприємства Web3 Повстанці. У ньому 10101 унікальний персонаж, заснований на суперечливій рекламній кампанії «Ісус, Марія». Кампанія була заборонена, але згодом знайшла справедливість у Європейському суді з прав людини, який виніс рішення на користь бренду. Тепер ця справа розглядається як прецедент у справах, пов’язаних із свободою слова в ЄС. Індре Вільтракіте має понад 10 років досвіду роботи в індустрії моди.
Маєте щось сказати про пограбування NFT чи щось інше? Напишіть нам або приєднуйтесь до обговорення в нашій Telegram-канал. Ви також можете зловити нас Tik Tok, Facebookабо Twitter.
відмова
Вся інформація, що міститься на нашому веб-сайті, публікується добросовісно та лише для загальної інформації. Будь-які дії, які читач вживає щодо інформації, розміщеної на нашому веб-сайті, суворо на свій страх і ризик.
Джерело: https://beincrypto.com/nft-heists-attacks-many-to-come/