Рынок невзаимозаменяемых токенов (NFT) переживает бум с лета 2021 года, и по мере стремительного роста цен на NFT росло и количество взломов, нацеленных на NFT.
Последний громкий взлом похитил около 600 эфиров (ETH) на сумму NFT от Arthur0x, основателя DeFiance Capital, которые затем были проданы на OpenSea.
В отчете о криптопреступлениях за 2022 год, опубликованном Chainalysis, подчеркивается, что стоимость, отправленная на торговые площадки NFT с незаконных адресов, значительно подскочила в 2021 году, достигнув чуть менее 1.4 миллиона долларов. Также наблюдалось явное увеличение украденных средств, отправленных на торговые площадки NFT.
Учитывая вызывающий обеспокоенность быстрый рост незаконной стоимости, поступающей на платформы NFT, естественно задаться вопросом, существуют ли меры и процедуры безопасности, и если да, то эффективны ли эти меры для защиты владельцев.
Давайте взглянем на OpenSea, крупнейшую платформу NFT, и ее меры безопасности.
Меры безопасности в OpenSea не могут защитить пользователей
В OpenSea есть две основные меры безопасности, которые срабатывают после «взлома» учетной записи — блокировка скомпрометированной учетной записи и блокировка украденных NFT. Эти две меры очень неэффективны, если смотреть на них внимательно.
Блокировка учетной записи может быть выполнена на веб-сайте OpenSea без одобрения человека, т.к. показанный здесь, в то время как блокировка NFT включает в себя длительный процесс создания заявки и ожидания ответа команды поддержки OpenSea.
В ситуации, когда хакер уже скомпрометировал кошелек и находится в процессе передачи NFT, блокировка учетной записи будет эффективной только в том случае, если это будет сделано до того, как хакер передаст все.
Точно так же блокировка NFT также эффективна только до того, как хакер продаст NFT другому покупателю. Что еще хуже, эта мера безопасности создает ряд косвенных жертв, которые в конечном итоге получают заблокированные NFT, которые нельзя продать или передать. Это связано с тем, что время ответа на запросы, поднятые в OpenSea, составляет не менее одного дня. К тому времени, когда OpenSea заблокирует NFT, они уже будут проданы другому покупателю, который теперь становится новой жертвой преступления.
В случае с 17 украденными Azuki у Arthur0x, 15 были украдены в течение той же минуты, а два были украдены через три минуты. Среднее время, в течение которого эти украденные NFT находились в кошельке хакера до того, как они были проданы, составляет 43 минуты. Меры безопасности OpenSea никак не реагируют и не реагируют достаточно быстро, чтобы сообщить жертве и остановить хакера; они также не могут информировать покупателей достаточно быстро, чтобы они не купили украденные NFT и не стали косвенными жертвами.
Блокировка украденных NFT создает косвенных жертв
Косвенная жертва — это тот, кто не является целью взлома, но косвенно страдает от финансовых потерь, вызванных блокировкой украденных NFT. Как видно из многих недавних взломов NFT, NFT всегда продаются до того, как OpenSea реализует блокировку. Последствием слишком поздней блокировки NFT является то, что это приводит к косвенным жертвам и большим потерям для большего числа людей.
Чтобы более подробно проиллюстрировать, как любой может в конечном итоге купить украденный NFT и стать косвенной жертвой взлома, вот три распространенных случая:
Дело 1: Алиса купила NFT, но только позже узнала, что это украденный актив. NFT заблокирован, и Алиса не может продать или передать его в OpenSea. Затем она продолжает поднимать билет поддержки. Через несколько недель команда OpenSea Trust & Safety предлагает возместить сборы платформы в размере 2.5%; и, возможно, адрес электронной почты жертвы, которая сообщила о краже, если повезет. Затем у нее, вероятно, будет долгая дискуссия с жертвой, чтобы обсудить возможность снятия блокировки, которая, скорее всего, ни к чему не приведет.
Алиса по-прежнему может продавать NFT на других торговых площадках, но объем продаж этой конкретной коллекции очень низок, и нет покупателя, который мог бы предложить справедливую цену на других платформах, кроме OpenSea.
Дело 2: Алиса сделала несколько предложений, делая ставки на NFT из коллекции. Одно из предложений было принято хакером, который затем получил платеж от ставки в кошелек жертвы и приступил к очистке кошелька. Позже NFT был заблокирован как часть активов, украденных жертвой в результате несанкционированных транзакций.
Подобные случаи часто случаются, потому что перечисленные NFT не могут быть переданы, если листинг не отменен. Хакер, которому не хватает времени, с большей вероятностью примет предложение о торгах, получит выручку от продажи и переведет деньги. Случай ниже показывает, как вся коллекция NFT непрямой жертвы была заблокирована OpenSea без объяснения причин.
Вот моя тема о том, как @открытое море необоснованно заблокировал мой аккаунт и заморозил все мои NFT после моего предложения 40 weth за @BoredApeYC № 6267 был принят.
Я считаю очень важным распространить этот кейс среди сообщества NFT!
Начнем ⬇️ pic.twitter.com/xnxctpzzpL— Мпа3ика (@Mpa3yka) 10 ноября 2021
Дело 3: Алиса владела NFT в течение достаточно долгого времени, и внезапно он был заблокирован и помечен как «заявлено о подозрительной активности». Аккаунт продавца не скомпрометирован, и транзакция произошла некоторое время назад. Поскольку нет никаких доказательств, необходимых для сообщения об украденных NFT и их блокировки, любой может отправить электронное письмо в группу по борьбе с мошенничеством OpenSea, чтобы заблокировать любой NFT.
Хотя полицейский отчет может быть запрошен позже, у OpenSea нет ни четкого заявления с указанием доказательств, необходимых для доказательства взлома, ни условий, при которых ложно заявленный украденный NFT может быть идентифицирован и снят с блокировки. Нет никаких последствий для ложного сообщения об украденных NFT.
NFT часто блокируются без каких-либо объяснений или доказательств, таких как полицейские отчеты, предоставленные косвенной жертве. Теоретически этими NFT все еще можно торговать на других платформах, но, учитывая монополию OpenSea на рынке, на которую приходится 95% от общего объема торговли NFT, блокировка любого NFT на OpenSea почти эквивалентна их удалению с рынка навсегда.
Блокировка NFT может искусственно повысить цену
Опасность блокировки украденных NFT для торговли на крупнейшей платформе NFT OpenSea заключается в постоянном сокращении предложения. На основе закон спроса и предложения в теории экономики, когда предложение падает, цена растет.
Например, коллекция Azuki насчитывает 10,000 1,100 NFT, и в настоящее время только 0 17 продаются в OpenSea. В результате взлома Arthur17x 1.5 были украдены и заблокированы. Хотя 1,100 NFT составляют всего около 22% от XNUMX находящихся в обращении, цена уже показала тенденцию к росту после взлома. Взлом произошел XNUMX марта и цена достигла своего пика 28 марта в 20.96 E до объявления об аирдропе 31 марта — увеличение на 55% за неделю.
Хотя не все из 17 украденных NFT заблокированы, поскольку Артуру удалось вернуть некоторые из них путем переговоров с непрямыми жертвами, чтобы выкупить их, будущие взломы в аналогичной форме будут происходить постоянно, и совокупное количество заблокированных NFT может только увеличиваться по мере того, как взломы продолжаются и не существует никаких процедур для их разблокировки.
Снова используя Azuki в качестве примера, приведенный ниже график собирает историческое количество продаж и среднюю цену для создания кривой спроса и предполагает, что кривая предложения является линейной. Точка пересечения кривых спроса и предложения является равновесной ценой.
Поскольку предложение постоянно уменьшается, скорость роста цены увеличивается по мере того, как наклон кривой спроса становится круче. Равное уменьшение предложения 300 NFT с 1,000 до 700 по сравнению с 700 до 400 приводит к большему росту цен на последние.
Как показано на графике ниже, цена увеличивается с 15 ETH до 21 ETH при снижении с 1,000 до 700, но еще больше увеличивается с 21 ETH до 28 ETH при снижении с 700 до 400.
Понятно, что блокировка украденных NFT может искусственно увеличить стоимость коллекции. Если кто-то захочет воспользоваться лазейкой в системе безопасности OpenSea, ложно сообщив о многих NFT из той же коллекции, что и об украденных (поскольку для сообщения об украденных NFT не требуется никаких доказательств), цена коллекции может резко возрасти, если предложение будет низким. . Эта лазейка может создать возможности для манипулирования ценами на неликвидном рынке NFT.
В любом случае блокировка NFT не является эффективной мерой по прекращению взлома или наказанию хакера, а, наоборот, создает больше косвенных жертв и лазеек для рыночных манипуляторов. Это, конечно, не выход, так есть ли какая-нибудь эффективная мера безопасности?
Необходимо наличие превентивных мер и системы, основанной на фактических данных.
Текущая система безопасности OpenSea не имеет превентивных мер для заблаговременной защиты пользователей. Все меры безопасности реализуются только после взлома, что является одной из основных причин их неэффективности.
Судя по поведению хакеров, время является важным компонентом. Меры безопасности, которые могут замедлить хакера или заранее информировать жертв, являются ключом к победе в битве. Вот еще несколько эффективных превентивных мер, которые может реализовать OpenSea:
- Создайте систему раннего предупреждения, которая может обнаруживать ненормальную активность в учетной записи и отправлять мгновенные текстовые сообщения или оповещения по электронной почте, чтобы информировать пользователей о такой активности, чтобы у них было достаточно времени для ответа. Например, если аккаунт никогда не покупал и не переводил более одного NFT в течение одной минуты; или если учетная запись никогда не выполняла никаких действий в прошлом в течение определенного периода времени (т. е. часовых поясов, когда пользователь спал), появление таких действий будет обнаружено алгоритмами машинного обучения. Владелец учетной записи может выбрать немедленное уведомление или разрешить автоматическую блокировку учетной записи в целях безопасности.
- Предоставить пользователям возможность ограничить максимальное количество переводов или продаж NFT, разрешенных в течение определенного периода времени, т. е. не более одного перевода или продажи в течение одной минуты; или минимальный временной интервал между каждой передачей или продажей, т. е. следующая передача или продажа может произойти только через 15 минут после предыдущей. Эти меры могут помешать хакерам украсть большое количество NFT за один раз.
- Создавайте информационные панели подозрительных учетных записей, которые позволяют жертвам мгновенно добавлять скомпрометированные учетные записи и учетные записи хакеров для всеобщего контроля. Это даст всем покупателям информацию о подозрительных аккаунтах в режиме реального времени и возможность перепроверить, есть ли продавец в списке, прежде чем покупать. Позже у жертвы могут быть запрошены такие доказательства, как полицейский отчет, чтобы доказать, что заявленные учетные записи действительно скомпрометированы.
Некоторые из этих мер могут создавать ложные тревоги и неудобства. Но, учитывая, что когда дело доходит до превентивных мер, это гонка времени против хакера, пользователи скорее будут в безопасности, чем сожалеть, чтобы не стать следующей жертвой.
Распространенные заблуждения о взломе криптовалют
Распространенное заблуждение о взломе криптовалюты заключается в том, что «это не произойдет со мной, потому что я хорошо осведомлен о безопасности и использую жесткий кошелек». Может быть и правда, что прямого злонамеренного взлома можно избежать с помощью надлежащей практики безопасности, но любой может стать косвенной жертвой взлома, нацеленного на кого-то другого. Когда количество взломов увеличивается, вероятность стать косвенной жертвой также намного выше.
Другое заблуждение заключается в том, что «пока я не держу слишком много денег в своем горячем кошельке, не имеет значения, взломан ли кошелек». Большинство пользователей не понимают, что денежные потери — это только одно из последствий взлома. Потеря кошелька Web3 равносильна потере всей вашей кредитной истории. Любые будущие выгоды, основанные на прошлых действиях, таких как аирдропы или доступ к кредитам и кредитному плечу, также могут испариться вместе со скомпрометированным кошельком.
Хотя блокчейн является одной из самых безопасных финансовых технологий, когда-либо созданных, злонамеренные взломы криптографических платформ представляют собой наибольшую угрозу для предприятия Web3.
Учитывая необратимый характер блокчейна и отсутствие превентивных мер безопасности в OpenSea, нетрудно увидеть лучшее решение, предложенное OpenSea после Взлом аукциона доменов Ethereum заключается в том, чтобы предложить хакеру 25% прибыли от продажи в обмен на возврат украденных NFT. Только в мире рынка NFT преступник может получить вознаграждение, а не наказание за такое серьезное преступление.
Будучи монополистом на рынке NFT, OpenSea, безусловно, может добиться большего успеха, более серьезно относиться к мерам безопасности и обеспечивать большую защиту своих пользователей.
Мнения и мнения, выраженные здесь, принадлежат исключительно автору и не обязательно отражают точку зрения Cointelegraph.com. Каждый ход инвестиций и торговли связан с риском, вы должны провести собственное исследование при принятии решения.
Источник: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections.