Крадзяжы NFT трапляюць у навіны. Вось як вы можаце абараніць сябе, кажа Індрэ Вільтракітэ, сузаснавальнік ст Паўстанцы.
Фішынгавыя атакі не навінка. Часам іх лёгка заўважыць. Як калі прыходзяць падказкі з просьбай даслаць вашу банкаўскую інфармацыю князю з далёкай чужыны. Але часам іх цяжэй заўважыць. Напрыклад, калі запыт на адабрэнне вызвалення вашых актываў паступае з, здавалася б, надзейнай крыніцы.
Гэта тое, што адбылося нядаўна ў выпадку крадзяжу фішынгу NFT. Карыстальнікі даверыліся схеме, якая задзейнічала Платформа Premint. Карыстальнікі пагадзіліся з просьбай зацвердзіць невядомую арганізацыю для кантролю над іх актывамі.
17 ліпеня 2022 года папулярная платформа NFT Premint NFT была ўзламана. Было выкрадзена 314 NFT на суму 430,000 XNUMX долараў. Зламыснікі змаглі размясціць шкоднасны код на афіцыйным сайце Premint. Код загадваў карыстальнікам «ўсталёўваць дазволы для ўсіх» пры падключэнні сваіх лічбавых кашалькоў да сайта. Гэта дазволіла зламыснікам атрымаць доступ да іх крыпта-актываў і скрасці іх NFT.
Новы свет NFT - калекцыя лічбавага мастацтва - можа быць у чарзе для новых фішынгавых атак.
Крадзяжы NFT: што крадуць?
Звычайна, калі мы чуем слова NFT, мы думаем пра лічбавы вобраз, унікальны і звязаны з блокчейном. Аднак гэта больш складана. Калі казаць пра NFT, заўсёды акцэнт робіцца на адсочванні права ўласнасці і ўнікальнасці. Але нідзе ў стандарце NFT не сказана, што ўяўляюць сабой унікальныя токены. Па сутнасці, токены - гэта толькі ўнікальныя нумары. Аўтары калекцыі NFT вызначаюць, што ўяўляюць гэтыя токены.
Акрамя таго, выявы звычайна ніколі не «загружаюцца ў крыпта-кашалёк.” Яны не ўваходзяць у кантракт NFT. Хэш выявы можа быць запісаны ў кантракце, каб стварыць сувязь з тым, што прадстаўляе NFT. Акрамя таго, NFT як стандарт не заклапочаны коштам або аперацыямі куплі і продажу NFT. Ён забяспечвае толькі стандартныя метады перадачы права ўласнасці на NFT. Рынкі і супольнасць абапіраюцца на гэта і ставяцца да NFT як да тавару.
У якасці тавару NFT у асноўным набываюцца як прадметы калекцыянавання, якія часта выкарыстоўваюцца ў інвестыцыйных мэтах. Яны толькі нядаўна распрацавалі прыклады практычнага выкарыстання. Прыклад ёсць лічбавыя модныя носныя прылады у Метасвету.
Што можна зрабіць у будучыні?
Хто вінаваты? Гэта карыстальнік? Або платформа, якая дазволіла зламысніку ініцыяваць махлярскую транзакцыю?
У гэтым канкрэтным выпадку зламыснікі змаглі паказаць кантэнт, каб прымусіць карыстальніка падпісаць махлярскую транзакцыю.
Расплывістай, праўдападобнай прычыны здзелкі ў спалучэнні з даверам да вэб-сайта было дастаткова, каб падмануць многіх. Тым не менш, неразумна чакаць, што сярэдні карыстальнік Web3 можа абысці гэта. У большасці не было дастаткова моцнага тэхнічнага вопыту, каб заўважыць, што транзакцыя насамрэч давала камусьці доступ да яго ці яе NFT.
Карыстальнікаў можна падманам прымусіць падпісаць транзакцыі, калі гэта ініцыявана давераным вэб-сайтам. Актывы ў кашальках карыстальнікаў настолькі ж бяспечныя, наколькі бяспечныя УСЕ дэцэнтралізаваныя прыкладанні (dapps), з якімі ўзаемадзейнічае карыстальнік, разам узятыя. Ідэнтычныя выпадкі могуць адбывацца і ў будучыні.
Шляхі бяспеку можна палепшыць:
1. Кашалькі могуць адлюстроўваць больш арыентаваную на чалавека інфармацыю для вядомых тыпаў узаемадзеяння кантрактаў. Напрыклад, вялізнае чырвонае паведамленне: «Гэй, ты перадаеш камусьці кантроль над усімі сваімі NFT!» Гэта было б нашмат лепш, чым цяперашняе «УСТАНОВІЦЬ ЗАЦВЕРДЖЭННЕ ДЛЯ ЎСІХ» шэрым колерам у акне пацверджання транзакцыі MetaMask.
2. Вэб-сайты могуць пералічваць і публікаваць кантрактныя ўзаемадзеянні, якія яны могуць ініцыяваць. Пастаўшчыкам падабаецца MetaMask мог адмовіцца ад любых нестандартных аперацый.
Крадзяжы NFT: як карыстальнікі могуць абараніць сябе
– Праверце дэталі транзакцыі перад падпісаннем. Гэта не абароніць карыстальніка на 100% часу. Але перагляд таго, якім метадам і які кантракт мае вырашальнае значэнне.
– Раздзяліце NFT (і іншыя крыпта-актывы) на некалькі кашалькоў. Калі карыстальнікаў падманам дадуць камусьці кантроль над сваімі актывамі ў адным папернік, па меншай меры, актывы ў іншых кашальках у бяспецы. Гэта пры ўмове, што вы не абагульваеце свой прыватны ключ або пачатковую фразу.
– Выкарыстоўвайце розныя кашалькі для розных праграм. Гэта не заўсёды практычна, калі dapp прызначаны для ўзаемадзеяння з іншымі актывамі ў кашальку. Аднак важна старацца захоўваць толькі тое, што актуальна.
пра аўтара
Індрэ Вільтракітэ з'яўляецца сузаснавальнікам моднага прадпрыемства Web3 Паўстанцы. Ён мае 10101 унікальны персанаж, заснаваны на спрэчнай рэкламнай кампаніі «Ісус, Марыя». Кампанія была забароненая, але пазней знайшла справядлівасць у Еўрапейскім судзе па правах чалавека, які вынес рашэнне на карысць брэнда. Справа цяпер разглядаецца як прэцэдэнт у справах, звязаных са свабодай слова ў ЕС. Індрэ Вілтракітэ мае больш чым 10-гадовы досвед працы ў індустрыі моды.
Ёсць што сказаць пра крадзяжы NFT або што-небудзь яшчэ? напісаць нам або далучайцеся да абмеркавання ў нашай Telegram канал. Вы таксама можаце злавіць нас Цік Ток, Facebookабо Twitter.
адмова
Уся інфармацыя, размешчаная на нашым сайце, публікуецца добрасумленна і мае толькі агульны інфармацыйны характар. Любыя дзеянні, якія чытач ужывае з інфармацыяй, размешчанай на нашым сайце, строга на свой страх і рызыка.
Крыніца: https://beincrypto.com/nft-heists-attacks-many-to-come/