Piața de jetoane nefungibile (NFT) a fost în plină expansiune din vara lui 2021 și, pe măsură ce prețurile NFT au crescut vertiginos, la fel a crescut și numărul de hack-uri care vizează NFT-urile.
Cel mai recent hack de profil înalt a sifonat aproximativ 600 de Ether (ETH) în valoare de NFT de la Arthur0x, fondatorul DeFiance Capital, care au fost apoi vândute pe OpenSea.
Un raport Crypto Crime din 2022 publicat de Chainalysis a evidențiat că valoarea trimisă către piețele NFT de adrese ilicite a crescut semnificativ în 2021, ajungând la puțin sub 1.4 milioane de dolari. A existat, de asemenea, o creștere clară a fondurilor furate trimise către piețele NFT.
Având în vedere creșterea rapidă îngrijorătoare a valorii ilicite care curge în platformele NFT, este firesc să ne întrebăm dacă măsurile și procedurile de securitate sunt în vigoare și dacă da, dacă aceste măsuri sunt eficiente în protejarea proprietarilor.
Să aruncăm o privire la OpenSea, cea mai mare platformă NFT, și la măsurile sale de securitate.
Măsurile de securitate de la OpenSea nu pot proteja utilizatorii
OpenSea are două măsuri principale de securitate care intervin odată ce un cont a fost „piratat” - blocarea contului compromis și blocarea NFT-urilor furate. Aceste două măsuri sunt foarte ineficiente când le analizăm îndeaproape.
Blocarea contului se poate face pe site-ul OpenSea fără aprobare umană indicat aici, în timp ce blocarea NFT-urilor implică un proces îndelungat de ridicare a unui bilet și de așteptare ca echipa de ajutor OpenSea să răspundă.
Într-o situație în care un hacker a compromis portofelul și este în curs de a transfera NFT-urile, blocarea contului va fi eficientă numai dacă se face înainte ca hackerul să transfere totul.
În mod similar, blocarea NFT-urilor este, de asemenea, eficientă numai înainte ca NFT-urile să fie vândute unui alt cumpărător de către hacker. Ceea ce este și mai rău este că această măsură de securitate creează o serie de victime indirecte care ajung cu NFT-uri blocate care nu pot fi vândute sau transferate. Acest lucru se datorează faptului că timpul de răspuns pentru biletele ridicate în OpenSea este de cel puțin o zi. Până când NFT-urile sunt blocate de OpenSea, acestea ar fi fost deja vândute unui alt cumpărător care devine acum noua victimă a crimei.
În cazul celor 17 Azuki furați de la Arthur0x, 15 au fost furați în același minut și doi au fost furați trei minute mai târziu. Timpul mediu pe care aceste NFT furate au stat în portofelul hackerului înainte de a fi vândute este de 43 de minute. Măsurile de securitate de la OpenSea nu sunt în niciun caz receptive și suficient de rapide pentru a informa victima și a opri hackerul; nici nu pot informa cumpărătorii suficient de prompt pentru a-i împiedica să cumpere NFT furate și să devină victime indirecte.
Blocarea NFT-urilor furate creează victime indirecte
O victimă indirectă este cineva care nu este ținta hack-ului, dar suferă indirect de pierderile financiare cauzate de blocarea NFT-urilor furate. După cum se vede din multe hack-uri recente NFT, NFT-urile sunt întotdeauna vândute înainte ca blocul să fie implementat de OpenSea. Consecința blocării prea târziu a NFT-urilor este că creează victime indirecte și mai multe pierderi pentru mai mulți oameni.
Pentru a ilustra mai detaliat modul în care cineva ar putea ajunge să cumpere un NFT furat și să devină o victimă indirectă a unui hack, iată trei cazuri comune:
Caz 1: Alice a cumpărat un NFT, dar a aflat abia mai târziu că este un bun furat. NFT este blocat și Alice nu îl poate vinde sau transfera pe OpenSea. Ea procedează apoi să ridice un bilet de sprijin. După câteva săptămâni, echipa OpenSea Trust & Safety se oferă să ramburseze taxele de platformă de 2.5%; și, eventual, adresa de e-mail a victimei care a raportat furtul dacă are noroc. Apoi, probabil că va avea o discuție lungă cu victima pentru a negocia posibilitatea ridicării blocului, care cel mai probabil nu va ajunge nicăieri.
Alice încă poate vinde NFT pe alte piețe, dar volumul vânzărilor este foarte scăzut pentru această colecție specială și nu există niciun cumpărător care să poată oferi un preț corect pe alte platforme decât OpenSea.
Caz 2: Alice a făcut mai multe oferte în timp ce licita pentru NFT dintr-o colecție. Una dintre oferte a fost acceptată de hacker, care a primit apoi plata din ofertă în portofelul victimei și a procedat la curățarea portofelului. NFT a fost blocat ulterior ca parte a bunurilor furate din tranzacții neautorizate de către victimă.
Cazuri ca acesta se întâmplă adesea deoarece NFT-urile enumerate nu pot fi transferate decât dacă listarea este anulată. Hackerul, care se află sub presiunea timpului, va fi mai probabil să accepte o ofertă de licitație și să obțină veniturile din vânzare și să transfere banii. Cazul de mai jos arată cum întreaga colecție NFT a victimei indirecte a fost blocată de OpenSea fără explicații.
Iată subiectul meu despre cum @opensea mi-am blocat contul în mod nerezonabil și mi-am înghețat toate NFT-urile după oferta mea de 40 de zile pentru @BoredApeYC #6267 a fost acceptat.
Cred că este foarte important să răspândim acest caz în comunitatea NFT!
Să începem ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Noiembrie 10, 2021
Caz 3: Alice deține un NFT de ceva timp și brusc este blocat și marcat ca „raportat pentru activitate suspectă”. Contul vânzătorului nu este compromis și tranzacția a avut loc cu ceva timp în urmă. Deoarece nu există dovezi necesare pentru a raporta un NFT furat și pentru a-l bloca, oricine poate trimite un e-mail echipei antifraudă a OpenSea pentru a bloca orice NFT.
Deși un raport de poliție poate fi solicitat ulterior, nu există nici o declarație clară din partea OpenSea care să specifice dovezile necesare pentru a dovedi pirateria și nici o condiție în care un NFT furat raportat în mod fals poate fi identificat și ridicat din bloc. Nu există nicio consecință pentru raportarea falsă a NFT-urilor furate.
NFT-urile sunt adesea blocate fără nicio explicație sau dovezi, cum ar fi rapoartele de poliție furnizate victimei indirecte. Teoretic, aceste NFT pot fi tranzacționate în continuare pe alte platforme, dar având în vedere monopolul OpenSea pe piață, cu 95% din volumele totale de tranzacționare NFT, blocarea oricărui NFT pe OpenSea este aproape echivalent cu scoaterea lor de pe piață pentru totdeauna.
Blocarea NFT-urilor ar putea crește artificial prețul
Pericolul blocării NFT-urilor furate de la tranzacționarea pe cea mai mare platformă NFT OpenSea este reducerea permanentă a ofertei. Bazat pe legea cererii si ofertei în teoria economiei, când oferta scade, prețul crește.
De exemplu, colecția Azuki are 10,000 de NFT și în prezent, doar 1,100 sunt la vânzare pe OpenSea. Hackul Arthur0x a dus la furtul și blocarea lui 17. Deși 17 NFT reprezintă doar aproximativ 1.5% din oferta de 1,100 circulante, prețul a arătat deja o tendință de creștere după hack. Hackul a avut loc pe 22 martie și prețul a atins punctul culminant pe 28 martie până la 20.96 E înainte de anunțul airdrop din 31 martie - o creștere de 55% într-o săptămână.
Deși nu toate cele 17 NFT furate sunt blocate, deoarece Arthur a reușit să recupereze unele prin negocieri cu victimele indirecte pentru a le răscumpăra, viitoarele hack-uri într-o formă similară se vor produce continuu, iar numărul cumulat de NFT blocate poate crește doar pe măsură ce hackurile continuă și nu există proceduri pentru a le debloca.
Folosind din nou Azuki ca exemplu, graficul de mai jos colectează numărul istoric de vânzări și prețul mediu pentru a crea o curbă a cererii și presupune că curba ofertei este liniară. Punctul în care curbele cererii și ofertei se intersectează este prețul de echilibru.
Pe măsură ce oferta scade continuu, viteza de creștere a prețului devine mai rapidă pe măsură ce panta curbei cererii devine mai abruptă. O scădere egală de 300 de NFT a aprovizionării de la 1,000 la 700 versus de la 700 la 400 are ca rezultat o creștere mai mare a prețului pentru acestea din urmă.
După cum se arată în graficul de mai jos, prețul crește de la 15 ETH la 21 ETH de la reducerea de 1,000 la 700, dar crește mai mult de la 21 ETH la 28 ETH de la reducerea de 700 la 400 ETH.
Este clar de văzut că blocarea NFT-urilor furate ar putea crește artificial prețul colectării. Dacă cineva ar dori să profite de lacuna din sistemul de securitate OpenSea raportând în mod fals multe NFT din aceeași colecție ca fiind furate (deoarece nu sunt necesare dovezi pentru a raporta NFT furate), prețul colecției ar putea crește dramatic dacă oferta este scăzută. . Această lacună ar putea crea oportunități de manipulare a prețurilor pe piața nelichidă a NFT.
În orice caz, blocarea NFT-urilor nu este o măsură eficientă pentru a opri hack-ul sau a pedepsi hackerul, ci, dimpotrivă, creează mai multe victime indirecte și lacune pentru manipulatorii pieței. Cu siguranță nu aceasta este calea de urmat, deci există vreo măsură de securitate eficientă?
Trebuie să existe măsuri preventive și un sistem bazat pe dovezi
Actualul sistem de securitate OpenSea nu are măsuri preventive pentru a proteja utilizatorii în avans. Toate măsurile de siguranță sunt implementate numai după hack, care este unul dintre principalele motive pentru care sunt ineficiente.
Pe baza comportamentelor hackerilor, timpul este o componentă esențială. Măsurile de securitate care pot încetini hackerul sau pot informa victimele din timp sunt cheia câștigării bătăliei. Iată câteva măsuri preventive mai eficiente care pot fi implementate de OpenSea:
- Creați un sistem de avertizare timpurie care poate detecta activitatea anormală a contului și poate trimite mesaje text instant sau alerte prin e-mail pentru a informa utilizatorii despre o astfel de activitate, astfel încât aceștia să aibă suficient timp să răspundă. De exemplu, dacă contul nu a cumpărat sau transferat niciodată mai mult de un NFT într-un minut; sau dacă contul nu a avut niciodată activități în trecut într-o anumită perioadă de timp (adică fusurile orare când utilizatorul doarme), apariția unor astfel de activități va fi detectată de algoritmii de învățare automată. Titularul contului poate alege să fie informat imediat sau să permită blocarea automată a contului pentru siguranță.
- Oferiți utilizatorilor opțiunea de a restrânge numărul maxim de transferuri sau vânzări NFT permise într-un interval de timp, adică maximum un transfer sau vânzare într-un minut; sau un interval de timp minim impus între fiecare transfer sau vânzare, adică următorul transfer sau vânzare poate avea loc doar la 15 minute după cel precedent. Aceste măsuri pot împiedica hackerii să fure un număr mare de NFT dintr-o singură mișcare.
- Creați tablouri de bord suspecte pentru conturi care permit victimelor să adauge instantaneu conturi compromise și conturi ale hackerilor pentru controlul public. Acest lucru va oferi tuturor cumpărătorilor informații în timp real despre conturile suspecte și posibilitatea de a verifica dacă vânzătorul este pe listă înainte de a cumpăra. Probe precum un raport de poliție pot fi solicitate ulterior victimei pentru a dovedi că conturile raportate sunt într-adevăr compromise.
Unele dintre aceste măsuri pot crea alarme false și inconveniente. Dar având în vedere că este o cursă a timpului împotriva hackerului când vine vorba de măsuri preventive, utilizatorii ar prefera să fie siguri decât să-și pară rău pentru a evita să devină următoarea victimă.
Concepții greșite comune despre hacking criptografic
O concepție greșită obișnuită despre hacking-ul criptografic este că „nu mi se va întâmpla acest lucru, deoarece gradul meu de conștientizare a securității este ridicat și folosesc un portofel dur”. Ar putea fi adevărat că un hack direct rău intenționat ar putea fi evitat prin bune practici de securitate, dar oricine ar putea deveni o victimă indirectă a unui hack care vizează pe altcineva. Când numărul de hack-uri crește, șansa de a deveni o victimă indirectă este, de asemenea, mult mai mare.
O altă concepție greșită este că „atâta timp cât nu păstrez prea mulți bani în portofelul meu fierbinte, nu contează dacă portofelul este compromis”. Ceea ce majoritatea utilizatorilor nu reușesc să realizeze este că pierderea monetară este doar una dintre repercusiunile hack-ului. Pierderea unui portofel Web3 este ca și cum ai pierde întregul istoric de credit. Orice beneficii viitoare bazate pe activități din trecut, cum ar fi airdrops-urile sau accesul la împrumuturi și levier, ar putea, de asemenea, să se evapore odată cu portofelul compromis.
Deși blockchain este una dintre cele mai sigure tehnologii financiare create vreodată, hackurile rău intenționate asupra platformelor bazate pe cripto sunt cea mai mare amenințare pentru afacerea Web3.
Având în vedere natura ireversibilă a blockchain-ului și lipsa măsurilor de securitate preventive a OpenSea, nu este greu să vedem cea mai bună soluție pe care OpenSea a venit după Hack de licitație pentru domeniul Ethereum este de a oferi hackerului un profit de 25% din vânzare în schimbul returnării NFT-urilor furate. Doar în lumea pieței NFT un criminal poate fi recompensat mai degrabă decât pedepsit pentru o infracțiune atât de gravă.
Fiind monopolul pieței NFT, OpenSea poate face cu siguranță mai bine decât atât și poate lua măsuri de securitate mai în serios și oferă mai multă protecție utilizatorilor săi.
Opiniile și opiniile exprimate aici sunt numai cele ale autorului și nu reflectă neapărat punctele de vedere ale Cointelegraph.com. Fiecare mișcare de investiții și de tranzacționare implică riscuri, ar trebui să efectuați propriile cercetări atunci când luați o decizie.
Sursa: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections