В феврале 2022 года OpenSea стал жертвой крупной фишинговой атаки в результате чего было получено более 1.7 млн долларов США. невзаимозаменяемые токены (NFT) крадут у пользователей. Это был не единственный инцидент: по сообщениям пользователей Blockchain потерял 3.9 миллиарда долларов из-за мошеннических действий только в 2022.
Когда мы вступили в 2023 год, прозвучал хор обещаний повысить безопасность в криптопространстве. Но пока что ничего существенно не изменилось. Компании, использующие блокчейн, все еще недостаточно делают для предотвращения мошенничества.
Если технология блокчейн получит массовое распространение, компаниям придется изменить свой подход снизу вверх. Сосредоточив внимание на обучении и внедряя более эффективные процессы для выявления вредоносной активности, эти платформы могут лучше обслуживать своих клиентов по мере того, как пространство продолжает расти.
Блокчейн-платформы должны научиться идентифицировать вредоносную активность
В случае со взломом OpenSea жертв попросили подписать неполный контракт, по-видимому, по запросу платформы. Хотя основная инфраструктура OpenSea не была взломана, поддельные учетные записи смогли воспользоваться протоколом Wyvern с открытым исходным кодом. Затем хакеры смогли использовать подпись владельца быть переведены на ложный контракт, который давал им право собственности без необходимости платить за NFT.
Связанный: 10 прогнозов для криптовалют на 2023 год
OpenSea недавно отменила некоторые из своих предыдущих политик после того, как переправу что 80% NFT, выпущенных бесплатно на платформе, были плагиатом или спамом. OpenSea также полагается на доверие к разработчикам, которые используют его API, что не является надежным способом оценки риска. Эти разработчики могут использовать API в злонамеренных целях, чтобы получить выгоду от подписания пользователями контрактов, которые они не читают.
Умные контракты являются неотъемлемой частью движка блокчейна и их можно найти повсюду, от бирж NFT до настоящих децентрализованных приложений. Понимание того, как функционируют эти контракты, необходимо для обеспечения безопасности пользователей. Вместо того, чтобы изобретать велосипед, компании могут внедрить стандартные протоколы, чтобы обеспечить устойчивость смарт-контрактов и защиту от злонамеренных действий. Оттуда компании могут воспользоваться гибким характером блокчейна и настроить свои контракты, например, настроить кошельки с мультиподписью и регулярное модульное тестирование.
Остерегайтесь спам-аирдропа
Если вы ищете популярную коллекцию Mutant Hounds, представленную в лучших коллекциях OpenSea, нет никаких указаний на то, какая коллекция является законной. Отсутствие проверки может привести к формированию поддельных коллекций, искусственно повышая цену, чтобы она выглядела законной и вводила пользователей в заблуждение. Поддельные коллекции часто распространяются через аирдропы, предназначенные для поиска с помощью функции поиска платформы NFT.
Связанный: Что Пол Кругман ошибается в криптографии
Коллекции спама также могут отправлять пользователям NFT, которые они не запрашивали, через аирдропы. Пользователи будут перенаправлены не через платформу, на которой они хранят коллекцию, например OpenSea, а через другой сайт, где происходит мошенничество.
Это обычный риск, который можно устранить с помощью платформ, отслеживающих такую активность, либо с помощью краудсорсинговой базы данных, которая отслеживает мошеннические учетные записи, либо с помощью административного инструмента, который знает, что искать, и постоянно в курсе обновлений мошенничества. Кроме того, платформы NFT могут требовать, чтобы заявки были в той же валюте, что и листинг, чтобы избежать путаницы. Многие пользователи были обмануты, приняв предложение в менее ценной валюте, чем та, в которой они выставили NFT на продажу. Блокчейн-платформы могут полагаться на данные, чтобы выявлять свои выбросы, отмечая подозрительную активность на основе нерегулярной активности среди небольшого числа держателей.
Конечно, следует отметить, что такие компании, как OpenSea, находятся в сложном положении, поскольку им приходится контролировать мошеннические учетные записи, созданные на их платформе. Во многих случаях это сводится к необходимости дополнительной проверки официальной коллекции.
Онбординг — неотъемлемая часть бизнес-плана
Онбординг должен быть основной частью работы с блокчейном для опытных и начинающих пользователей. Как и в случае со смарт-контрактами, установление четких инструкций для пользователей и выявление потенциальных рисков следует считать одной из основных передовых практик для обеспечения безопасности пользователей. Эти руководства следует регулярно пересматривать с учетом оценки рисков и соответствующим образом корректировать по мере развития блокчейна.
Среди опытных пользователей инициализм «DYOR» является обычным явлением среди пользователей блокчейна. Как сокращение от «проведите собственное исследование», это выражение стало негласным правилом для тех, кто взаимодействует с потенциальными инвестиционными возможностями. Тем не менее, новичкам может быть сложно точно знать, с чего начать. Существует множество противоречивой информации от влиятельных лиц в пространстве, которые часто продвигают следующую большую вещь и осуществляют рискованные инвестиции, в результате чего пользователи становятся жертвами мошенничества или потери активов. Руководства и образовательные материалы должны быть легко доступны, адаптированы к системе ценностей каждой платформы и уникальным рискам.
Лучшие практики должны быть приоритетом для всех блокчейн-платформ.
Поскольку сообщество блокчейнов в настоящее время преодолевает трудности роста, компаниям следует извлечь тяжелые уроки из крупных эксплойтов, таких как те, что были в OpenSea, и усовершенствовать свои протоколы безопасности, чтобы этого больше не повторилось. Отправной точкой должно стать изучение всех тонкостей базовых технологий, от смарт-контрактов до защиты сид-фразы. Оттуда вы узнаете, как внедрять и поддерживать передовые методы, такие как выявление вредоносных действий и тех, кто сеет хаос. Возможно, все, что потребовалось бы для предотвращения некоторых из самых последних крупномасштабных взломов, — это просто, чтобы кто-то заметил, что что-то не так.
Майкл Р. Пирс является соучредителем и генеральным директором NotCommon. Он получил степень бакалавра делового администрирования и магистра делового администрирования в Техасском университете в Остине.
Эта статья предназначена для общих информационных целей и не предназначена и не должна восприниматься как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или представляют взгляды и мнения Cointelegraph.
Источник: https://cointelegraph.com/news/opensea-must-become-more-ambitious-about-fighting-hackers.