У лютым 2022 г. OpenSea стаў ахвярай буйной фішынгавай атакі што прывяло да больш чым 1.7 мільёна долараў несумяшчальныя токены (NFT) крадуць у карыстальнікаў. Гэта быў не адзіны інцыдэнт: па паведамленнях, карыстальнікі Blockchain страціў 3.9 мільярда долараў з-за махлярства толькі ў 2022 годзе.
Калі мы ўступілі ў 2023 год, быў хор абяцанняў павысіць бяспеку ў крыптапрасторы. Але пакуль што істотна не змянілася. Кампаніі, якія выкарыстоўваюць блокчейн, усё яшчэ не робяць дастаткова для прадухілення махлярства.
Калі тэхналогія блокчэйн атрымае масавае прыняцце, кампаніям прыйдзецца змяніць свой падыход знізу ўверх. Засяродзіўшы ўвагу на адукацыі і ўкараняючы лепшыя працэсы для выяўлення шкоднасных дзеянняў, гэтыя платформы могуць лепш абслугоўваць сваіх кліентаў, паколькі прастора працягвае расці.
Блокчэйн-платформам неабходна навучыцца ідэнтыфікаваць шкоднасную дзейнасць
У выпадку ўзлому OpenSea ахвярам было прапанавана падпісаць няпоўны кантракт, здавалася б, па просьбе платформы. Хаця асноўная інфраструктура OpenSea не была ўзламаная, падробленыя акаўнты змаглі скарыстацца перавагамі пратакола Wyvern з адкрытым зыходным кодам. Затым змаглі выкарыстаць хакеры подпіс уладальніка быць пераведзены на ілжывы кантракт, які дае ім права ўласнасці без неабходнасці плаціць за NFT.
Па тэме: 10 прагнозаў для крыпта ў 2023 годзе
OpenSea нядаўна адмяніла некаторыя ранейшыя палітыкі пасля таго, як гэта было паведамляецца што 80% NFT, адчаканеных бясплатна на платформе, былі плагіятам або спамам. OpenSea таксама абапіраецца на давер да распрацоўшчыкаў, якія выкарыстоўваюць яго API, што не з'яўляецца надзейным спосабам ацэнкі рызыкі. Гэтыя распрацоўшчыкі могуць выкарыстоўваць API для зламысных мэтаў, каб скарыстацца тым, што карыстальнікі падпісваюць кантракты, якіх яны не чытаюць.
Разумныя кантракты з'яўляюцца неад'емнай часткай механізму блокчейна, і іх можна знайсці ўсюды, ад біржаў NFT да сапраўдных дэцэнтралізаваных прыкладанняў. Разуменне таго, як функцыянуюць гэтыя кантракты, неабходна для забеспячэння бяспекі карыстальнікаў. Замест таго, каб вынаходзіць ровар, кампаніі могуць укараняць стандартныя пратаколы, каб гарантаваць, што смарт-кантракты ўстойлівыя і абаронены ад шкоднасных дзеянняў. Адтуль кампаніі могуць скарыстацца перавагамі гнуткай прыроды блокчейна і наладзіць свой кантракт, напрыклад, наладзіць кашалькі з некалькімі подпісамі і рэгулярнае модульнае тэставанне.
Сцеражыцеся рассылкі спаму
Калі вы пашукаеце папулярную калекцыю Mutant Hounds, прадстаўленую ў лепшых калекцыях OpenSea, няма ніякіх указанняў на тое, якая калекцыя з'яўляецца законнай. Адсутнасць праверкі можа прывесці да стварэння падробленых калекцый, штучнага павышэння цаны, каб яна выглядала законнай і заблытанай для карыстальнікаў. Фальшывыя калекцыі часта распаўсюджваюцца праз airdrops, прызначаныя для пошуку з дапамогай функцыі пошуку на платформе NFT.
Па тэме: У чым памыляецца Пол Кругман адносна крыпта
Спам-калекцыі таксама могуць адпраўляць карыстальнікам NFT, якія яны не прасілі, праз рассылку. Карыстальнікі будуць перанакіроўвацца не праз платформу, на якой яны трымаюць калекцыю, напрыклад OpenSea, а праз іншы сайт, дзе адбываецца афёра.
Гэта звычайная рызыка, якую можна ліквідаваць з дапамогай маніторынгу такіх дзеянняў платформамі альбо з дапамогай краўдсорсінгавай базы дадзеных, якая адсочвае ашуканскія ўліковыя запісы, альбо з дапамогай інструмента адміністравання, які ведае, на што трэба звярнуць увагу, і пастаянна ў курсе абноўленых махлярстваў. Акрамя таго, платформы NFT могуць патрабаваць, каб стаўкі былі ў той жа валюце, што і спіс, каб пазбегнуць блытаніны. Шмат карыстальнікаў падманулі, прыняўшы прапанову ў менш каштоўнай валюце, чым тая, у якой яны выставілі NFT на продаж. Блокчейн-платформы могуць абапірацца на даныя, каб выявіць выкіды, пазначаючы падазроную дзейнасць, заснаваную на нерэгулярнай дзейнасці сярод невялікай колькасці трымальнікаў.
Безумоўна, трэба адзначыць, што такія кампаніі, як OpenSea, знаходзяцца ў складанай сітуацыі, калі ім неабходна кантраляваць ашуканскія ўліковыя запісы, якія чаканіцца на іх платформе. У многіх выпадках гэта зводзіцца да неабходнасці дадатковай праверкі афіцыйнага збору.
Адпрацоўка з'яўляецца неад'емнай часткай бізнес-плана
Падрыхтоўка павінна быць асноўнай часткай вопыту блокчейна для ветэранаў і пачаткоўцаў карыстальнікаў. Як і смарт-кантракты, усталяванне дакладных рэкамендацый для карыстальнікаў і вылучэнне патэнцыйных рызык варта разглядаць як адну з фундаментальных перадавых практык для забеспячэння бяспекі карыстальнікаў. Гэтыя кіраўніцтва трэба рэгулярна пераглядаць з улікам ацэнкі рызыкі і адпаведна карэктаваць па меры сталення блокчейна.
Сярод вопытных карыстальнікаў ініцыял "DYOR" з'яўляецца звычайнай з'явай сярод карыстальнікаў блокчейна. У якасці абрэвіятуры ад «рабіць сваё ўласнае даследаванне» гэты выраз стаў негалосным правілам для тых, хто ўзаемадзейнічае з патэнцыяльнымі інвестыцыйнымі магчымасцямі. Тым не менш, для пачаткоўцаў можа быць складана дакладна ведаць, з чаго пачаць. Існуе мноства супярэчлівых звестак ад уплывовых асоб у прасторы, якія часта імкнуцца да наступнай вялікай справы і рызыкоўных інвестыцый, што прыводзіць да таго, што карыстальнікі становяцца ахвярамі махлярства або губляюць актывы. Рэкамендацыі і адукацыйныя матэрыялы павінны быць даступныя, адабраныя ў адпаведнасці з сістэмай каштоўнасцей і унікальнымі рызыкамі кожнай платформы.
Лепшыя практыкі павінны быць прыярытэтам для ўсіх блокчейн-платформаў
Паколькі блокчейн-супольнасць зараз перажывае цяжкасці росту, кампаніям варта скарыстацца цяжкімі ўрокамі, атрыманымі з дапамогай буйных эксплойтаў, такіх як OpenSea, і ўдасканаліць свае пратаколы бяспекі, каб такое больш не паўтарылася. Адпраўной кропкай павінна стаць вывучэнне тонкасцей асноўных тэхналогій, ад смарт-кантрактаў да таго, як абараніць сваю пачатковую фразу. Адтуль даведайцеся, як укараняць і падтрымліваць лепшыя практыкі, такія як выяўленне шкоднасных дзеянняў і тых, што сеюць хаос. Магчыма, усё, што спатрэбілася, каб прадухіліць некаторыя з апошніх буйнамаштабных узломаў, каб хтосьці заўважыў, што нешта здаецца не так.
Майкл Р. Пірс з'яўляецца сузаснавальнікам і генеральным дырэктарам NotCommon. Ён атрымаў ступень BBA і MBA ў Тэхаскім універсітэце ў Осціне.
Гэты артыкул прызначаны для агульных інфармацыйных мэт і не прызначаны і не павінен разглядацца ў якасці юрыдычнай або інвестыцыйнай парады. Погляды, думкі і меркаванні, выказаныя тут, належаць толькі аўтару і не абавязкова адлюстроўваюць або прадстаўляюць погляды і меркаванні Cointelegraph.
Крыніца: https://cointelegraph.com/news/opensea-must-become-more-ambitious-about-fighting-hackers