Пазарът на незаменими токени (NFT) процъфтява от лятото на 2021 г. и тъй като цените на NFT скочиха до небето, нарасна и броят на хакове, насочени към NFT.
Най-новият високопрофилен хак източи приблизително 600 етера (ETH) на стойност NFT от Arthur0x, основателят на DeFiance Capital, които след това бяха продадени на OpenSea.
Доклад за криптопрестъпленията за 2022 г., публикуван от Chainalysis, подчерта, че стойността, изпратена до пазарите на NFT от незаконни адреси, е скочила значително през 2021 г., достигайки малко под 1.4 милиона долара. Имаше и ясно увеличение на откраднатите средства, изпратени до пазарите на NFT.
Предвид тревожното бързо нарастване на незаконната стойност, вливаща се в NFT платформите, естествено е да се запитаме дали са въведени мерки и процедури за сигурност и ако да, дали тези мерки са ефективни за защита на собствениците.
Нека да разгледаме OpenSea, най-голямата NFT платформа, и нейните мерки за сигурност.
Мерките за сигурност в OpenSea не могат да защитят потребителите
OpenSea има две основни мерки за сигурност, които влизат в действие, след като акаунтът е „хакнат“ – заключване на компрометирания акаунт и блокиране на откраднатите NFT. Тези две мерки са много неефективни, когато се разглеждат отблизо.
Заключването на акаунта може да се извърши на уебсайта на OpenSea без одобрение от човека като посочен тук, докато блокирането на NFT включва дълъг процес на набиране на билет и чакане на помощния екип на OpenSea да отговори.
В ситуация, в която хакер вече е компрометира портфейла и е в процес на прехвърляне на NFT, заключването на акаунта ще бъде ефективно само ако е направено преди хакерът да прехвърли всичко.
По същия начин блокирането на NFT също е ефективно само преди NFT да бъдат продадени на друг купувач от хакера. Още по-лошото е, че тази мярка за сигурност създава поредица от непреки жертви, които се оказват с блокирани NFT, които не могат да бъдат продадени или прехвърлени. Това е така, защото времето за отговор за билети, събрани в OpenSea, е поне един ден. По времето, когато NFT са блокирани от OpenSea, те вече биха били продадени на друг купувач, който сега става новата жертва на престъплението.
В случая с 17-те откраднати Azuki от Arthur0x, 15 бяха откраднати в рамките на същата минута и два бяха откраднати три минути по-късно. Средното време, в което тези откраднати NFT остават в портфейла на хакера, преди да бъдат продадени, е 43 минути. Мерките за сигурност от OpenSea по никакъв начин не са отзивчиви и достатъчно бързи, за да информират жертвата и да спрат хакера; нито могат да информират купувачите достатъчно бързо, за да ги попречат да купуват откраднатите NFT и да станат непреки жертви.
Блокирането на откраднати NFT създава непреки жертви
Непряка жертва е човек, който не е цел на хакването, но косвено страда от финансовите загуби, причинени от блокирането на откраднатите NFT. Както се вижда от много скорошни NFT хакове, NFT винаги се продават преди блока да бъде внедрен от OpenSea. Последицата от твърде късното блокиране на NFT е, че това създава непреки жертви и повече загуби за повече хора.
За да илюстрираме по-подробно как някой може да купи откраднато NFT и да стане непряка жертва на хакване, ето три често срещани случая:
Дело 1: Алис купи NFT, но едва по-късно разбра, че това е откраднат актив. NFT е блокиран и Алис не може да го продаде или прехвърли в OpenSea. След това тя продължава да събира билет за поддръжка. След няколко седмици екипът на OpenSea Trust & Safety предлага да възстанови 2.5% такси за платформата; и евентуално имейл адреса на жертвата, която е съобщила за кражбата, ако има късмет. След това тя вероятно ще проведе продължителна дискусия с жертвата, за да договори възможността за вдигане на блока, което най-вероятно няма да свърши никъде.
Alice все още може да продава NFT на други пазари, но обемът на продажбите е много нисък за тази конкретна колекция и няма купувач, който може да предложи справедлива цена на платформи, различни от OpenSea.
Дело 2: Алис направи множество оферти, докато наддава за NFT от колекция. Една от офертите беше приета от хакера, който след това получи плащането от офертата в портфейла на жертвата и продължи да изчисти портфейла. По-късно NFT беше блокиран като част от откраднатите активи от неоторизирани транзакции от жертвата.
Случаи като този често се случват, защото изброените NFT не могат да бъдат прехвърлени, освен ако листването не бъде анулирано. Хакерът, който е под натиск от време, е по-вероятно да приеме оферта за оферта и да получи приходите от продажбата и да прехвърли парите. Случаят по-долу показва как цялата колекция NFT на непряката жертва е била блокирана от OpenSea без обяснение.
Ето моята тема за това как @opensea неоснователно блокирах акаунта ми и замразих всичките ми NFT след офертата ми 40 weth for @BoredApeYC #6267 беше приет.
Мисля, че е много важно този случай да се разпространи сред NFT общността!
Да започнем ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Ноември 10, 2021
Дело 3: Алис притежава NFT от доста време и изведнъж той е блокиран и маркиран като „докладван за подозрителна дейност“. Сметката на продавача не е компрометирана и транзакцията е извършена преди малко. Тъй като не се изискват доказателства за докладване на откраднато NFT и блокирането му, всеки може да изпрати имейл до екипа на OpenSea за борба с измамите, за да блокира всеки NFT.
Въпреки че полицейски доклад може да бъде поискан по-късно, няма нито ясно изявление от OpenSea, което да посочи доказателствата, необходими за доказване на хака, нито условие, при което фалшиво докладван откраднат NFT може да бъде идентифициран и изваден от блока. Няма последствия за фалшиво докладване на откраднати NFT.
NFT често се блокират без обяснение или доказателства, като например полицейски доклади, предоставени на непряката жертва. Теоретично тези NFT все още могат да се търгуват на други платформи, но предвид монопола на OpenSea на пазара, с 95% от общия обем на търговия с NFT, блокирането на всеки NFT в OpenSea е почти еквивалентно на изваждането им от пазара завинаги.
Блокирането на NFT може изкуствено да увеличи цената
Опасността от блокиране на откраднати NFT от търговия на най-голямата NFT платформа OpenSea е постоянното намаляване на предлагането. Базиран на закон на предлагането и предлагането в икономическата теория, когато предлагането намалява, цената се повишава.
Като пример, колекцията на Azuki има 10,000 1,100 NFT и в момента само 0 са в продажба в OpenSea. Хакването на Arthur17x доведе до откраднати и блокирани 17. Въпреки че 1.5 NFT са само около 1,100% от 22 циркулиращи доставки, цената вече показа тенденция на нарастване след хакването. Хакът се случи на XNUMX март и цената достигна на 28 март до 20.96 E преди обявяването на airdrop на 31 март — увеличение от 55% в рамките на една седмица.
Въпреки че не всички от 17 откраднати NFT са блокирани, тъй като Артър успя да възстанови някои чрез преговори с непреките жертви, за да ги изкупи обратно, бъдещи хакове в подобна форма ще се случват непрекъснато и кумулативният брой блокирани NFT може само да се увеличава с продължаването на хаковете и няма процедури за деблокирането им.
Използвайки отново Azuki като пример, графиката по-долу събира историческия брой продажби и средната цена, за да създаде крива на търсенето и приема, че кривата на предлагане е линейна. Точката, където кривите на търсенето и предлагането се пресичат, е равновесната цена.
Тъй като предлагането непрекъснато намалява, скоростта на нарастване на цената става по-бърза, тъй като наклонът на кривата на търсенето става по-стръмен. Еднакво намаляване на предлагането с 300 NFT от 1,000 на 700 спрямо 700 на 400 води до по-голямо увеличение на цената за последното.
Както е показано на графиката по-долу, цената се увеличава от 15 ETH на 21 ETH от намалението от 1,000 до 700, но се увеличава повече от 21 ETH на 28 ETH от намалението от 700 до 400.
Ясно е, че блокирането на откраднатите NFT може изкуствено да увеличи цената на колекцията. Ако някой иска да се възползва от вратичката в системата за сигурност на OpenSea, като фалшиво докладва много NFT от същата колекция като откраднати (тъй като не се изискват доказателства за докладване на откраднати NFT), цената на колекцията може драстично да се увеличи, ако предлагането е ниско . Тази вратичка може да създаде възможности за манипулиране на цените на неликвидния пазар на NFT.
Във всеки случай, блокирането на NFT не е ефективна мярка за спиране на хакването или наказване на хакера, а напротив, създава повече непреки жертви и вратички за пазарни манипулатори. Това със сигурност не е начинът, така че има ли ефективна мярка за сигурност?
Необходимо е да бъдат въведени превантивни мерки и система, основана на доказателства
Настоящата система за сигурност OpenSea няма въведени превантивни мерки за предварителна защита на потребителите. Всички мерки за безопасност се прилагат едва след хакването, което е една от основните причини да са неефективни.
Въз основа на поведението на хакерите времето е основен компонент. Мерките за сигурност, които могат да забавят хакера или да информират жертвите рано, са ключът към спечелването на битката. Ето някои по-ефективни превантивни мерки, които могат да бъдат приложени от OpenSea:
- Създайте система за ранно предупреждение, която може да открива необичайна активност в акаунта и да изпраща незабавни текстови съобщения или имейл сигнали, за да информира потребителите за такава дейност, така че да имат достатъчно време да отговорят. Например, ако акаунтът никога не е купувал или прехвърлял повече от един NFT в рамките на една минута; или ако акаунтът никога не е имал никакви дейности в миналото през определен период от време (т.е. часови зони, когато потребителят спи), появата на такива дейности ще бъде открита от алгоритми за машинно обучение. Притежателят на акаунта може да избере да бъде информиран незабавно или да позволи на акаунта да бъде автоматично заключен за безопасност.
- Предоставят на потребителите възможност да ограничат максималния брой NFT трансфери или продажби, разрешени в рамките на даден период от време, т.е. максимум един трансфер или продажба в рамките на една минута; или минимален интервал от време между всяко прехвърляне или продажба, т.е. следващото прехвърляне или продажба може да се случи само 15 минути след предишното. Тези мерки могат да попречат на хакерите да откраднат голям брой NFT наведнъж.
- Създайте табла за управление на подозрителни акаунти, които позволяват на жертвите незабавно да добавят компрометирани акаунти и акаунти на хакери за обществен контрол. Това ще даде на всички купувачи информация в реално време за подозрителни акаунти и възможност за кръстосана проверка дали продавачът е в списъка, преди да купят. По-късно от жертвата могат да бъдат изискани доказателства като полицейски доклад, за да се докаже, че докладваните акаунти наистина са компрометирани.
Някои от тези мерки могат да създадат фалшиви аларми и неудобства. Но като се има предвид, че е надпревара с хакера, когато става въпрос за превантивни мерки, потребителите биха предпочели да са в безопасност, отколкото да съжаляват, за да избегнат да станат следващата жертва.
Често срещани погрешни схващания за крипто хакването
Често срещано погрешно схващане за крипто хакването е, че „това няма да ми се случи, защото моята осведоменост за сигурността е висока и използвам твърд портфейл“. Може да е вярно, че директен злонамерен хак може да бъде избегнат чрез добра практика за сигурност, но всеки може да стане непряка жертва на хак, насочен към някой друг. Когато броят на хаковете се увеличи, шансът да станете непряка жертва също е много по-висок.
Друго погрешно схващане е, „стига да не държа твърде много пари в горещия си портфейл, няма значение дали портфейлът е компрометиран.“ Това, което повечето потребители не осъзнават, е, че паричната загуба е само едно от последствията от хака. Загубата на портфейл Web3 е като загубата на цялата си кредитна история. Всички бъдещи ползи, базирани на минали дейности като въздушни пускания или достъп до заеми и ливъридж, също могат да се изпарят с компрометирания портфейл.
Въпреки че блокчейнът е една от най-сигурните финансови технологии, създавани някога, злонамерените хакове към крипто-базирани платформи са най-голямата заплаха за начинанието на Web3.
Предвид необратимия характер на блокчейн и липсата на превантивни мерки за сигурност в OpenSea, не е трудно да се види най-доброто решение, което OpenSea измисли след Хакване на търг за домейн Ethereum е да предложи на хакера 25% печалба от продажбата в замяна на връщането на откраднатите NFT. Само в света на пазара на NFT престъпник може да бъде възнаграден, а не наказан за такова тежко престъпление.
Като монопол на пазара на NFT, OpenSea със сигурност може да се справи по-добре от това и да вземе мерките за сигурност по-сериозно и да осигури повече защита на своите потребители.
Мненията и мненията, изразени тук, са само на автора и не отразяват непременно възгледите на Cointelegraph.com. Всяко ход на инвестиция и търговия включва риск, трябва да проведете собствено проучване, когато вземате решение.
Източник: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections