Рынак незаменных токенаў (NFT) бурна развіваецца з лета 2021 года, і калі цэны на NFT рэзка ўзляцелі, павялічылася і колькасць узломаў, накіраваных на NFT.
Апошні гучны ўзлом выцягнуў прыкладна 600 эфіраў (ETH) на суму NFT ад Arthur0x, заснавальніка DeFiance Capital, якія потым былі прададзены на OpenSea.
Справаздача аб крыпта-злачынствах за 2022 год, апублікаваная Chainalysis, падкрэслівае, што кошт, адпраўлены на рынкі NFT з незаконных адрасоў, значна падскочыў у 2021 годзе і дасягнуў крыху менш за 1.4 мільёна долараў. Таксама адбылося відавочнае павелічэнне колькасці скрадзеных сродкаў, адпраўленых на рынкі NFT.
Улічваючы заклапочаны хуткі рост незаконнай каштоўнасці, якая паступае на платформы NFT, натуральна спытаць, ці дзейнічаюць меры і працэдуры бяспекі, і калі так, ці эфектыўныя гэтыя меры для абароны ўладальнікаў.
Давайце паглядзім на OpenSea, найбуйнейшую платформу NFT, і яе меры бяспекі.
Меры бяспекі ў OpenSea не могуць абараніць карыстальнікаў
У OpenSea ёсць дзве асноўныя меры бяспекі, якія дзейнічаюць пасля «ўзлому» ўліковага запісу — блакіроўка ўзламанага ўліковага запісу і блакіроўка скрадзеных NFT. Гэтыя дзве меры вельмі неэфектыўныя, калі разглядаць іх уважліва.
Блакаванне ўліковага запісу можа быць зроблена на вэб-сайце OpenSea без дазволу чалавека паказаны тут, у той час як блакіроўка NFT прадугледжвае працяглы працэс збору білета і чакання адказу каманды дапамогі OpenSea.
У сітуацыі, калі хакер ужо скампраметаваў кашалёк і знаходзіцца ў працэсе перадачы NFT, блакіроўка ўліковага запісу будзе эфектыўнай, толькі калі гэта будзе зроблена да таго, як хакер перадасць усё.
Аналагічным чынам блакіроўка NFT таксама эфектыўная толькі да таго, як хакер прадасць NFT іншаму пакупніку. Што яшчэ горш, гэтая мера бяспекі стварае серыю ўскосных ахвяр, якія ў канчатковым выніку атрымліваюць заблакаваныя NFT, якія нельга прадаць або перадаць. Гэта таму, што час адказу на білеты, сабраныя ў OpenSea, складае не менш за адзін дзень. Да таго часу, калі NFT будуць заблакіраваны OpenSea, яны ўжо будуць прададзены іншаму пакупніку, які цяпер стане новай ахвярай злачынства.
У выпадку з 17 скрадзенымі Азукі ў Arthur0x, 15 былі скрадзеныя ў тую ж хвіліну, а два былі скрадзеныя праз тры хвіліны. Сярэдні час, калі гэтыя скрадзеныя NFT заставаліся ў кашальку хакера перад продажам, складае 43 хвіліны. Меры бяспекі ад OpenSea ніякім чынам не рэагуюць і не дастаткова хуткія, каб інфармаваць ахвяру і спыніць хакера; яны таксама не могуць інфармаваць пакупнікоў дастаткова хутка, каб перашкодзіць ім набыць скрадзеныя NFT і стаць ускоснымі ахвярамі.
Блакаванне скрадзеных NFT стварае ўскосныя ахвяры
Ускосная ахвяра - гэта той, хто не з'яўляецца мэтай узлому, але ўскосна пакутуе ад фінансавых страт, выкліканых блакіроўкай скрадзеных NFT. Як бачна з многіх нядаўніх узломаў NFT, NFT заўсёды прадаюцца да таго, як блок будзе рэалізаваны OpenSea. Наступствам занадта познай блакіроўкі NFT з'яўляецца тое, што гэта стварае ўскосныя ахвяры і павялічвае страты для большай колькасці людзей.
Каб больш падрабязна праілюстраваць, як хто-небудзь можа купіць скрадзены NFT і стаць ускоснай ахвярай узлому, вось тры распаўсюджаныя выпадкі:
Справа 1: Аліса купіла NFT, але толькі пазней даведалася, што гэта скрадзены актыў. NFT заблакіраваны, і Аліса не можа прадаць або перадаць яго на OpenSea. Затым яна працягвае падымаць білет падтрымкі. Праз некалькі тыдняў каманда OpenSea Trust & Safety прапануе вярнуць плату за платформу ў памеры 2.5 %. і, магчыма, адрас электроннай пошты ахвяры, якая паведаміла аб крадзяжы, калі пашанцуе. Потым яна, хутчэй за ўсё, будзе доўга абмяркоўваць з ахвярай магчымасць зняцця блакіроўкі, што, хутчэй за ўсё, ні да чаго не прывядзе.
Аліса ўсё яшчэ можа прадаваць NFT на іншых рынках, але аб'ём продажаў гэтай канкрэтнай калекцыі вельмі нізкі, і няма пакупніка, які мог бы прапанаваць справядлівую цану на іншых платформах, акрамя OpenSea.
Справа 2: Падчас таргоў на NFT з калекцыі Аліса зрабіла некалькі прапаноў. Адна з прапаноў была прынята хакерам, які затым атрымаў аплату ад стаўкі ў кашальку ахвяры і прыступіў да ачысткі кашалька. Пазней NFT быў заблакіраваны як частка выкрадзеных актываў у выніку несанкцыянаваных транзакцый ахвярай.
Такія выпадкі часта здараюцца, таму што пералічаныя NFT не могуць быць перададзены, калі спіс не адменены. Хакер, які знаходзіцца ў абмежаваным часе, з большай верагоднасцю прыме прапанову стаўкі і атрымае выручку ад продажу і перавядзе грошы. Прыведзены ніжэй выпадак паказвае, як уся калекцыя NFT ўскоснай ахвяры была заблакіравана OpenSea без тлумачэння прычын.
Вось мая тэма пра тое, як @opensea неабгрунтавана заблакіраваў мой уліковы запіс і замарозіў усе мае NFT пасля маёй прапановы 40 с @BoredApeYC №6267 быў прыняты.
Я думаю, што вельмі важна распаўсюдзіць гэтую справу сярод супольнасці NFT!
Пачнем ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Лістапада 10, 2021
Справа 3: Аліса даволі доўга валодала NFT, і раптам яго блакіруюць і пазначаюць як «паведамленне аб падазронай дзейнасці». Уліковы запіс прадаўца не скампраметаваны, і транзакцыя адбылася некаторы час таму. Паколькі не патрабуецца ніякіх доказаў, каб паведаміць аб скрадзеным NFT і заблакіраваць яго, кожны можа адправіць электронны ліст групе па барацьбе з махлярствам OpenSea, каб заблакіраваць любы NFT.
Нягледзячы на тое, што паліцэйскі пратакол можна запытаць пазней, няма ні выразнай заявы OpenSea, каб указаць доказы, неабходныя для пацверджання ўзлому, ні ўмоў, пры якіх ілжыва заяўлены скрадзены NFT можа быць ідэнтыфікаваны і зняты з блока. Ілжывае паведамленне аб скрадзеных NFT не цягне за сабой ніякіх наступстваў.
NFT часта блакіруюцца без тлумачэнняў або доказаў, такіх як пратаколы паліцыі, якія прадстаўляюцца ўскоснай ахвяры. Тэарэтычна, гэтымі NFT па-ранейшаму можна гандляваць на іншых платформах, але, улічваючы манаполію OpenSea на рынку, з 95% ад агульнага аб'ёму гандлю NFT, блакіроўка любых NFT на OpenSea амаль эквівалентна назаўжды іх выключэнню з рынку.
Блакаванне NFT можа штучна павялічыць цану
Небяспека блакіроўкі гандлю скрадзенымі NFT на найбуйнейшай платформе NFT OpenSea заключаецца ў пастаянным скарачэнні прапановы. На аснове ст закон попыту і прапановы у эканамічнай тэорыі, калі прапанова зніжаецца, цана расце.
У якасці прыкладу, калекцыя Azuki налічвае 10,000 1,100 NFT, і ў цяперашні час толькі 0 прадаюцца на OpenSea. У выніку ўзлому Arthur17x 17 былі скрадзены і заблакіраваны. Нягледзячы на тое, што 1.5 NFT складаюць толькі каля 1,100% ад 22 абаротных паставак, цана ўжо прадэманстравала тэндэнцыю да росту пасля ўзлому. Узлом адбыўся XNUMX сакавіка і цана вярнуўся 28 сакавіка да 20.96 E да аб'явы аб эірдропе 31 сакавіка — павелічэнне на 55% за тыдзень.
Нягледзячы на тое, што не ўсе з 17 скрадзеных NFT заблакіраваны, паколькі Артуру ўдалося вярнуць некаторыя праз перамовы з ускоснымі ахвярамі аб іх выкупе, будучыя ўзломы ў падобнай форме будуць адбывацца бесперапынна, і агульная колькасць заблакіраваных NFT можа толькі павялічвацца па меры працягвання ўзломаў і няма працэдур, каб разблакіраваць іх.
Зноў выкарыстоўваючы Азукі ў якасці прыкладу, графік ніжэй збірае гістарычную колькасць продажаў і сярэднюю цану для стварэння крывой попыту і мяркуе, што крывая прапановы лінейная. Кропка, у якой перасякаюцца крывыя попыту і прапановы, - гэта раўнаважная цана.
Паколькі прапанова бесперапынна памяншаецца, хуткасць росту цаны становіцца большай, чым круцей нахіл крывой попыту. Роўнае зніжэнне прапановы на 300 NFT з 1,000 да 700 у параўнанні з 700 да 400 прыводзіць да большага росту коштаў на апошнія.
Як паказана на графіку ніжэй, цана павялічваецца з 15 ETH да 21 ETH са зніжэння з 1,000 да 700, але павялічваецца яшчэ з 21 ETH да 28 ETH са зніжэння з 700 да 400.
Відавочна, што блакіроўка скрадзеных NFT можа штучна павялічыць цану калекцыі. Калі б хтосьці захацеў скарыстацца шчылінай у сістэме бяспекі OpenSea, ілжыва паведаміўшы пра шмат NFT з той жа калекцыі як пра скрадзеныя (паколькі не патрабуецца ніякіх доказаў, каб паведамляць пра скрадзеныя NFT), цана калекцыі можа рэзка ўзрасці, калі прапанова будзе нізкай . Гэтая шчыліна можа стварыць магчымасці для маніпулявання цэнамі на неліквідным рынку NFT.
У любым выпадку блакіроўка NFT не з'яўляецца эфектыўнай мерай для спынення ўзлому або пакарання хакера, а, наадварот, стварае больш ускосных ахвяр і стварае шчыліны для рынкавых маніпулятараў. Гэта, вядома, не той шлях, так ці ёсць дзейсныя меры бяспекі?
Павінны быць прафілактычныя меры і сістэма, заснаваная на фактах
Цяперашняя сістэма бяспекі OpenSea не мае прэвентыўных мер для загадзя абараніць карыстальнікаў. Усе меры бяспекі прымяняюцца толькі пасля ўзлому, што з'яўляецца адной з асноўных прычын іх неэфектыўнасці.
Грунтуючыся на паводзінах хакераў, час з'яўляецца важным кампанентам. Меры бяспекі, якія могуць запаволіць хакера або рана паведаміць ахвярам, з'яўляюцца ключом да перамогі ў бітве. Вось яшчэ некалькі эфектыўных прафілактычных мер, якія можа рэалізаваць OpenSea:
- Стварыце сістэму ранняга папярэджання, якая можа выяўляць ненармальную актыўнасць уліковага запісу і адпраўляць імгненныя тэкставыя паведамленні або абвесткі па электроннай пошце, каб інфармаваць карыстальнікаў аб такіх дзеяннях, каб у іх было дастаткова часу, каб адказаць. Напрыклад, калі ўліковы запіс ніколі не купляў і не перадаваў больш за адзін NFT на працягу адной хвіліны; або калі ва ўліковым запісе ніколі не было ніякіх дзеянняў у мінулым на працягу пэўнага перыяду часу (г.зн. гадзінных паясоў, калі карыстальнік спіць), з'яўленне такіх дзеянняў будзе выяўлена алгарытмамі машыннага навучання. Уладальнік уліковага запісу можа выбраць неадкладнае інфармаванне або дазволіць аўтаматычную блакіроўку ўліковага запісу ў мэтах бяспекі.
- Даць карыстальнікам магчымасць абмежаваць максімальную колькасць перадач або продажаў NFT, дазволеных на працягу перыяду часу, г.зн. максімум адну перадачу або продаж на працягу адной хвіліны; або мінімальны прамежак часу паміж кожнай перадачай або продажам, г.зн. наступная перадача або продаж можа адбыцца толькі праз 15 хвілін пасля папярэдняй. Гэтыя меры могуць перашкодзіць хакерам скрасці вялікую колькасць NFT за адзін раз.
- Стварайце панэлі падазроных уліковых запісаў, якія дазваляюць ахвярам імгненна дадаваць узламаныя ўліковыя запісы і ўліковыя запісы хакераў для грамадскага кантролю. Гэта дасць усім пакупнікам інфармацыю ў рэжыме рэальнага часу аб падазроных уліковых запісах і магчымасць пераправерыць, ці ёсць прадавец у спісе, перш чым яны купяць. Пазней у ахвяры можна запытаць такія доказы, як паліцэйскі пратакол, каб пацвердзіць, што заяўленыя ўліковыя запісы сапраўды скампраметаваныя.
Некаторыя з гэтых мер могуць выклікаць ілжывыя трывогі і нязручнасці. Але, улічваючы, што гэта гонка часу супраць хакераў, калі справа даходзіць да прафілактычных мер, карыстальнікі лепш будуць у бяспецы, чым шкадаваць, каб не стаць наступнай ахвярай.
Распаўсюджаныя памылковыя ўяўленні аб узломе крыпты
Распаўсюджанае памылковае меркаванне аб узломе крыпты заключаецца ў тым, што «са мной гэтага не здарыцца, таму што я добра дасведчаны аб бяспецы і выкарыстоўваю жорсткі кашалёк». Гэта можа быць праўдай, што прамога зламыснага ўзлому можна пазбегнуць з дапамогай добрай практыкі бяспекі, але кожны можа стаць ускоснай ахвярай узлому, нацэленага на кагосьці іншага. Калі колькасць узломаў павялічваецца, верагоднасць стаць ускоснай ахвярай таксама значна вышэй.
Яшчэ адно памылковае меркаванне: «пакуль я не трымаю занадта шмат грошай у сваім гарачым кашальку, не мае значэння, калі кашалёк узламаны». Большасць карыстальнікаў не разумеюць, што грашовыя страты - гэта толькі адзін з наступстваў узлому. Страта кашалька Web3 падобная на страту ўсёй крэдытнай гісторыі. Любыя будучыя выгады, заснаваныя на мінулых дзеяннях, такія як эірдропы або доступ да крэдытаў і рычагоў, таксама могуць знікнуць разам са скампраметаваным кашальком.
Нягледзячы на тое, што блокчэйн з'яўляецца адной з самых бяспечных фінансавых тэхналогій, калі-небудзь створаных, шкоднасныя ўзломы крыпта-платформаў з'яўляюцца самай вялікай пагрозай для прадпрыемства Web3.
Улічваючы незваротны характар блокчейна і адсутнасць у OpenSea прэвентыўных мер бяспекі, няцяжка зразумець, якое лепшае рашэнне прыдумала OpenSea пасля Ўзлом аўкцыёну дамена Ethereum заключаецца ў тым, каб прапанаваць хакеру 25% прыбытку ад продажу ў абмен на вяртанне скрадзеных NFT. Толькі ў свеце рынку NFT злачынец можа атрымаць узнагароду, а не пакаранне за такое сур'ёзнае злачынства.
Будучы манапалістам рынку NFT, OpenSea, безумоўна, можа зрабіць лепш, чым гэта, больш сур'ёзна паставіцца да мер бяспекі і забяспечыць большую абарону сваім карыстальнікам.
Погляды і меркаванні, выказаныя тут, выключна меркаванняў аўтара і не абавязкова адлюстроўваюць погляды Cointelegraph.com. Кожны інвестыцыйны і гандлёвы ход звязаны з рызыкай, пры прыняцці рашэння варта правесці ўласнае даследаванне.
Крыніца: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections