Ринок незмінних токенів (NFT) процвітає з літа 2021 року, і оскільки ціни на NFT різко зросли, зросла і кількість хакерських операцій, спрямованих на NFT.
Останній гучний хак викачав приблизно 600 ефірів (ETH) на суму NFT від Arthur0x, засновника DeFiance Capital, які потім були продані на OpenSea.
У звіті про крипто-злочинність за 2022 рік, опублікованому Chainalysis, підкреслюється, що вартість, надіслана на ринки NFT із незаконних адрес, значно підскочила в 2021 році, досягнувши трохи менше 1.4 мільйона доларів. Також спостерігалося явне збільшення вкрадених коштів, що надсилаються на ринки NFT.
Враховуючи стрімке зростання незаконної вартості, що надходить на платформи NFT, цілком природно запитати, чи діють заходи та процедури безпеки, і якщо так, то чи ефективні ці заходи для захисту власників.
Давайте подивимося на OpenSea, найбільшу платформу NFT, і заходи безпеки.
Заходи безпеки в OpenSea не можуть захистити користувачів
OpenSea має дві основні заходи безпеки, які починають діяти після «злому» облікового запису — блокування зламаного облікового запису та блокування вкрадених NFT. Ці два заходи дуже неефективні, якщо розглядати їх уважно.
Блокування облікового запису можна зробити на веб-сайті OpenSea без схвалення людини як показаний тут, тоді як блокування NFT передбачає тривалий процес отримання квитка та очікування відповіді команди допомоги OpenSea.
У ситуації, коли хакер уже зламав гаманець і передає NFT, блокування облікового запису буде ефективним лише в тому випадку, якщо це буде зроблено до того, як хакер переведе все.
Аналогічно, блокування NFT також ефективне лише до того, як хакер продасть NFT іншому покупцю. Ще гірше те, що цей захід безпеки створює низку непрямих жертв, які в кінцевому підсумку отримують заблоковані NFT, які не можна продати або передати. Це тому, що час відповіді на квитки, зібрані в OpenSea, становить принаймні один день. На той момент, коли OpenSea заблокує NFT, вони вже були б продані іншому покупцеві, який тепер стає новою жертвою злочину.
У випадку з 17 вкраденими Azuki з Arthur0x, 15 було вкрадено протягом тієї ж хвилини, а два – через три хвилини. Середній час перебування цих вкрадених NFT в гаманці хакера до їх продажу становить 43 хвилини. Заходи безпеки від OpenSea жодним чином не реагують і не достатньо швидкі, щоб повідомити жертву та зупинити хакера; вони також не можуть інформувати покупців достатньо швидко, щоб перешкодити їм купувати вкрадені NFT і стати непрямими жертвами.
Блокування вкрадених NFT створює непрямих жертв
Непряма жертва – це той, хто не є ціллю злому, але опосередковано потерпає від фінансових втрат, спричинених блокуванням викрадених NFT. Як видно з багатьох останніх зломів NFT, NFT завжди продаються до того, як блок реалізується OpenSea. Наслідком занадто пізного блокування NFT є те, що це створює непрямі жертви та більше втрат для більшої кількості людей.
Щоб більш детально проілюструвати, як хтось може придбати вкрадений NFT і стати непрямою жертвою злому, ось три поширені випадки:
Справа 1: Аліса купила NFT, але лише пізніше дізналася, що це викрадений актив. NFT заблоковано, і Аліса не може продати чи передати його на OpenSea. Потім вона збирає квиток на підтримку. Через кілька тижнів команда OpenSea Trust & Safety пропонує повернути 2.5% комісії за платформу; і, можливо, адресу електронної пошти жертви, яка повідомила про крадіжку, якщо пощастить. Потім вона, ймовірно, проведе тривалу дискусію з жертвою, щоб домовитися про можливість зняття блоку, яка, швидше за все, не закінчиться нікуди.
Аліса все ще може продавати NFT на інших ринках, але обсяг продажів для цієї конкретної колекції дуже низький, і немає покупця, який міг би запропонувати справедливу ціну на інших платформах, крім OpenSea.
Справа 2: Аліса зробила кілька пропозицій під час ставки на NFT з колекції. Одну з пропозицій хакер прийняв, отримавши платіж із ставки в гаманець жертви та приступив до очищення гаманця. Пізніше NFT було заблоковано у складі викрадених активів жертви від несанкціонованих операцій.
Подібні випадки часто трапляються, оскільки перераховані NFT не можуть бути передані, доки перелік не скасовано. Хакер, який перебуває під тиском часу, з більшою ймовірністю прийме пропозицію пропозиції та отримає виручку від продажу та переведе гроші. У наведеному нижче випадку показано, як вся колекція NFT непрямої жертви була заблокована OpenSea без пояснень.
Ось моя тема про те, як @opensea безпідставно заблокував мій обліковий запис і заморозив усі мої NFT після моєї пропозиції 40 weth for @BoredApeYC № 6267 прийнято.
Я вважаю, що дуже важливо поширити цю справу серед спільноти NFT!
Почнемо ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Листопад 10, 2021
Справа 3: Аліса володіє NFT протягом досить тривалого часу, і раптом його блокують і позначають як «повідомлено про підозрілу діяльність». Обліковий запис продавця не зламано, і транзакція відбулася деякий час тому. Оскільки для повідомлення про викрадену NFT та її блокування немає жодних доказів, будь-хто може надіслати електронний лист команді OpenSea із боротьби з шахрайством, щоб заблокувати будь-який NFT.
Незважаючи на те, що поліцейський звіт можна попросити пізніше, OpenSea не має ні чіткої заяви щодо вказівки доказів, необхідних для підтвердження злому, ні умов, за яких можна ідентифікувати фальшиво повідомлену про викрадену NFT та вилучити її з блоку. Неправдиве повідомлення про викрадені NFT не має жодних наслідків.
NFT часто блокуються без пояснень чи доказів, таких як звіти поліції, надані непрямій жертві. Теоретично цими NFT все ще можна торгувати на інших платформах, але враховуючи монополію OpenSea на ринку, з 95% загального обсягу торгівлі NFT, блокування будь-якого NFT на OpenSea майже еквівалентно вилученню їх з ринку назавжди.
Блокування NFT може штучно підвищити ціну
Небезпека блокування вкрадених NFT для торгівлі на найбільшій платформі NFT OpenSea полягає в постійному скороченні пропозиції. На основі закон попиту та пропозиції в економічній теорії, коли пропозиція падає, ціна зростає.
Наприклад, колекція Azuki налічує 10,000 1,100 NFT, і наразі лише 0 продаються на OpenSea. Злом Arthur17x призвів до викрадення та блокування 17. Хоча 1.5 NFT становлять лише близько 1,100% від 22 оборотних пропозицій, ціна вже продемонструвала тенденцію зростання після злому. Злом стався XNUMX березня і ціна пік 28 березня до 20.96 E до оголошення про ефір 31 березня — збільшення на 55% протягом тижня.
Хоча не всі з 17 викрадених NFT заблоковано, оскільки Артуру вдалося відновити деякі через переговори з непрямими жертвами, щоб їх викупити, майбутні хаки в подібній формі відбуватимуться постійно, і загальна кількість заблокованих NFT може тільки збільшуватися, коли хакерство продовжуватиметься та не існує жодних процедур для їх розблокування.
Знову на прикладі Azuki, графік нижче збирає історичну кількість продажів і середню ціну для створення кривої попиту та припускає, що крива пропозиції є лінійною. Точка, де перетинаються криві попиту та пропозиції, є рівноважною ціною.
Оскільки пропозиція постійно зменшується, швидкість зростання ціни стає швидшою, оскільки нахил кривої попиту стає крутішим. Рівне зменшення пропозиції на 300 NFT з 1,000 до 700 проти 700 до 400 призводить до більшого зростання ціни на останній.
Як показано на графіку нижче, ціна зростає з 15 ETH до 21 ETH зі зниженням на 1,000 до 700, але з 21 ETH до 28 ETH зі зниженням на 700 до 400.
Зрозуміло, що блокування вкрадених NFT може штучно підвищити ціну колекції. Якщо хтось хотів скористатися лазівкою в системі безпеки OpenSea, помилково повідомивши про вкрадені багато NFT з тієї ж колекції (оскільки для повідомлення про викрадені NFT не потрібно ніяких доказів), ціна колекції може різко зрости, якщо пропозиція буде низьким. . Ця лазівка може створити можливості для маніпулювання цінами на неліквідному ринку NFT.
У будь-якому випадку, блокування NFT не є ефективним заходом для припинення злому чи покарання хакера, а навпаки, створює більше непрямих жертв і лазівок для маніпуляторів ринку. Це, безумовно, не той шлях, тож чи є якісь ефективні заходи безпеки?
Повинні бути запобіжні заходи та система, заснована на доказах
Нинішня система безпеки OpenSea не має запобіжних заходів для завчасного захисту користувачів. Всі заходи безпеки впроваджуються тільки після злому, що є однією з основних причин їх неефективності.
Виходячи з поведінки хакерів, час є важливою складовою. Заходи безпеки, які можуть уповільнити хакера або завчасно повідомити жертв, є ключем до перемоги в битві. Ось кілька ефективніших профілактичних заходів, які може запровадити OpenSea:
- Створіть систему раннього попередження, яка може виявляти ненормальну активність облікового запису та надсилати миттєві текстові повідомлення або сповіщення електронною поштою, щоб інформувати користувачів про таку активність, щоб у них було достатньо часу, щоб відповісти. Наприклад, якщо обліковий запис ніколи не купував або не переводив більше одного NFT протягом однієї хвилини; або якщо в обліковому записі ніколи не було жодних дій у минулому протягом певного періоду часу (тобто часових поясів, коли користувач спить), виникнення таких дій буде виявлено алгоритмами машинного навчання. Власник облікового запису може вибрати, щоб його негайно повідомили, або дозволити автоматичне блокування облікового запису для безпеки.
- Надати користувачам можливість обмежити максимальну кількість переказів або продажів NFT, дозволених протягом певного періоду часу, тобто максимум одну передачу або продаж протягом однієї хвилини; або мінімальний проміжок часу, встановлений між кожною передачею чи продажем, тобто наступна передача чи продаж може відбутися лише через 15 хвилин після попередньої. Ці заходи можуть запобігти крадіжці хакерів великої кількості NFT за один раз.
- Створюйте підозрілі інформаційні панелі облікових записів, які дозволяють жертвам миттєво додавати зламані облікові записи та облікові записи хакерів для загального огляду. Це дасть всім покупцям інформацію в режимі реального часу про підозрілі облікові записи та можливість перехресної перевірки, чи є продавець у списку, перш ніж вони куплять. Пізніше від жертви можна запитати такі докази, як поліцейський протокол, щоб довести, що звіти, про які повідомляється, дійсно зламані.
Деякі з цих заходів можуть створювати помилкові тривоги та створювати незручності. Але враховуючи, що проти хакера йде гонка часу, коли справа доходить до профілактичних заходів, користувачі воліють бути в безпеці, ніж шкодувати, щоб не стати наступною жертвою.
Поширені помилки щодо злому криптовалют
Поширене помилкове уявлення про крипто-злом полягає в тому, що «це не станеться зі мною, тому що я дуже обізнаний з безпекою, і я використовую жорсткий гаманець». Можливо, прямого зловмисного злому можна уникнути за допомогою належної практики безпеки, але будь-хто може стати непрямою жертвою злому, спрямованого на когось іншого. Коли кількість хаків збільшується, шанс стати непрямою жертвою також значно вище.
Інша помилка полягає в тому, що «поки я не тримаю занадто багато грошей у своєму гарячому гаманці, не має значення, чи буде гаманець зламаний». Більшість користувачів не розуміють, що грошові втрати є лише одним із наслідків злому. Втрата гаманця Web3 схожа на втрату всієї кредитної історії. Будь-які майбутні переваги, засновані на минулих діях, такі як airdrops або доступ до позик і кредитного плеча, також можуть випаруватися разом із скомпрометованим гаманцем.
Хоча блокчейн є однією з найбезпечніших фінансових технологій, які коли-небудь були створені, зловмисний злам на крипто-платформи є найбільшою загрозою для підприємства Web3.
Враховуючи незворотну природу блокчейну та відсутність у OpenSea запобіжних заходів безпеки, неважко побачити найкраще рішення, яке OpenSea знайшла після Злом на аукціоні домену Ethereum полягає в тому, щоб запропонувати хакеру 25% прибутку від продажу в обмін на повернення вкрадених NFT. Тільки у світі ринку NFT злочинець може отримати винагороду, а не покарання за такий серйозний злочин.
Будучи монополістом ринку NFT, OpenSea, безумовно, може зробити краще, ніж це, і серйозніше підійти до заходів безпеки та забезпечити більший захист своїм користувачам.
Висловлені тут погляди та думки є виключно висловлюваннями автора та не обов'язково відображають погляди Cointelegraph.com. Кожен інвестиційний та торговий хід передбачає ризик, ви повинні проводити власне дослідження, приймаючи рішення.
Джерело: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections