Helmikuussa 2022 OpenSea joutui suuren tietojenkalasteluhyökkäyksen uhriksi joka tuotti yli 1.7 miljoonaa dollaria ei-palavat merkit (NFT) varastetaan käyttäjiltä. Se ei ollut ainoa tapaus: Blockchain-käyttäjien kerrotaan menetti 3.9 miljardia dollaria petollisen toiminnan vuoksi vain 2022: ssa.
Vuoteen 2023 tullessamme luvattiin lukuisia lupauksia lisätä turvallisuutta kryptoavaruudessa. Mutta toistaiseksi asiat eivät ole merkittävästi muuttuneet. Lohkoketjua käyttävät yritykset eivät vieläkään tee tarpeeksi estääkseen huijauksia.
Jos lohkoketjuteknologiaa tullaan näkemään massakäyttöön, yritysten on muutettava lähestymistapaansa alhaalta ylöspäin. Keskittymällä koulutukseen ja ottamalla käyttöön parempia prosesseja haitallisen toiminnan tunnistamiseksi, nämä alustat voivat palvella asiakkaitaan paremmin tilan kasvaessa.
Blockchain-alustojen on opittava tunnistamaan haitallinen toiminta
OpenSea-hakkeroinnin tapauksessa uhreja pyydettiin allekirjoittamaan epätäydellinen sopimus, ilmeisesti alustan pyynnöstä. Vaikka OpenSean ydininfrastruktuuria ei hakkeroitu, väärennetyt tilit pystyivät hyödyntämään avoimen lähdekoodin Wyvern-protokollaa. Hakkerit pystyivät sitten käyttämään omistajan allekirjoitus siirtyä väärään sopimukseen, joka antoi heille omistusoikeuden ilman, että heidän piti maksaa NFT:stä.
Related: 10 kryptoennustetta vuonna 2023
OpenSea muutti äskettäin joitakin aiempia käytäntöjään sen jälkeen, kun se oli raportoitu että 80 % alustalla ilmaiseksi lyödyistä NFT:istä oli plagioitua tai roskapostia. OpenSea luottaa myös luottamukseen sen APIa käyttäviin kehittäjiin, mikä ei ole idioottivarma tapa arvioida riskejä. Nämä kehittäjät voivat käyttää sovellusliittymää haitallisiin tarkoituksiin hyödyntääkseen käyttäjiä, jotka allekirjoittavat sopimuksia, joita he eivät lue.
Älykkäät sopimukset ovat olennainen osa lohkoketjumoottoria ja niitä löytyy kaikkialta NFT-vaihdosta todellisiin hajautettuihin sovelluksiin. Näiden sopimusten toiminnan ymmärtäminen on välttämätöntä käyttäjien turvaamiseksi. Sen sijaan, että yritykset keksivät pyörän uudelleen, ne voivat ottaa käyttöön vakioprotokollia varmistaakseen, että älykkäät sopimukset ovat kestäviä ja suojattuja haitallisilta toimilta. Sieltä yritykset voivat hyödyntää lohkoketjun joustavaa luonnetta ja mukauttaa sopimuksiaan, kuten perustaa multisignature-lompakoita ja säännöllistä yksikkötestausta.
Varo roskapostia
Jos etsit suosittua Mutant Hounds -kokoelmaa, joka on esillä OpenSean huippukokoelmissa, ei ole viitteitä siitä, mikä kokoelma on laillinen. Todentamisen puute voi johtaa väärennettyjen kokoelmien muodostamiseen, mikä nostaa keinotekoisesti hintaa, jotta se näyttää lailliselta ja käyttäjille hämmentävältä. Väärennettyjä kokoelmia jaetaan usein airdropsien kautta, jotka on tarkoitettu löydettäväksi NFT-alustan hakutoiminnon kautta.
Related: Mitä Paul Krugman tekee väärin krypton suhteen
Roskapostikokoelmat voivat myös lähettää käyttäjille NFT-tiedostoja, joita he eivät ole pyytäneet airdropsin kautta. Käyttäjiä ei ohjata sen alustan kautta, jolla heillä on kokoelma, kuten OpenSea, vaan eri sivuston kautta, jossa huijaus tapahtuu.
Tämä on yleinen riski, johon tällaista toimintaa valvovat alustat voivat puuttua joko joukkolähdetietokannan avulla, joka seuraa petollisia tilejä, tai hallintatyökalun avulla, joka tietää mitä etsiä ja on jatkuvasti tietoinen päivitetyistä huijauksista. Lisäksi NFT-alustat voivat vaatia, että tarjoukset ovat samassa valuutassa kuin listauksen sekaannusten välttämiseksi. Monet käyttäjät ovat joutuneet huijatuksi hyväksymällä tarjouksen vähemmän arvokkaalla valuutalla kuin se, jossa he listasivat NFT:n myyntiin. Blockchain-alustat voivat luottaa tietoihin paljastaakseen poikkeavuutensa ilmoittamalla epäilyttävästä toiminnasta, joka perustuu epäsäännölliseen toimintaan pienten haltijoiden keskuudessa.
Tietenkin on huomattava, että OpenSean kaltaiset yritykset ovat haastavassa tilanteessa, kun heidän on valvottava vilpillisiä tilejä, jotka syntyvät heidän alustallaan. Monissa tapauksissa se tiivistyy virallisen kokoelman tarkempaan tarkistamiseen.
Onboarding on olennainen osa liiketoimintasuunnitelmaa
Onboardingin tulisi olla keskeinen osa blockchain-kokemusta veteraani- ja aloitteleville käyttäjille. Älykkäiden sopimusten tapaan selkeiden käyttäjäohjeiden laatimista ja mahdollisten riskien korostamista tulisi pitää yhtenä tärkeimmistä parhaista käytännöistä käyttäjien turvallisuuden varmistamisessa. Nämä oppaat tulee tarkistaa säännöllisesti riskiarvioinnin perusteella ja mukauttaa vastaavasti lohkoketjun kypsyessä.
Kokeneiden käyttäjien keskuudessa aloitusarvo "DYOR" on yleistä lohkoketjun käyttäjien keskuudessa. Lyhenteenä "tee oma tutkimus" tästä ilmaisusta on tullut äänetön sääntö niille, jotka ovat vuorovaikutuksessa mahdollisten sijoitusmahdollisuuksien kanssa. Uusille tulokkaille voi kuitenkin olla haastavaa tietää tarkasti, mistä aloittaa. Avaruudessa on joukko ristiriitaista tietoa vaikuttajilta, jotka usein ajavat seuraavaa suurta asiaa ja ajavat riskialttiita sijoituksia, minkä seurauksena käyttäjät joutuvat huijausten tai omaisuuden menettämisen uhreiksi. Ohjeiden ja koulutusmateriaalien tulee olla helposti saatavilla, kunkin alustan arvojärjestelmän ja ainutlaatuisten riskien mukaan kuratoituina.
Parhaiden käytäntöjen tulisi olla etusijalla kaikilla blockchain-alustoilla
Koska blockchain-yhteisö työskentelee tällä hetkellä kasvukipunsa läpi, yritysten tulisi ottaa opiksi suurista hyökkäyksistä, kuten OpenSeasta, ja tarkentaa suojausprotokollaaan varmistaakseen, että näin ei toistu. Lähtökohtana pitäisi olla perustekniikan ytimekäs oppiminen älykkäistä sopimuksista oman siemenlauseen suojaamiseen. Sieltä opit käyttämään ja ylläpitämään parhaita käytäntöjä, kuten haitallisen toiminnan ja tuhoa aiheuttavan toiminnan tunnistamista. Ehkä kaikki viimeisimmät laajamittaiset hakkerit olisivat estäneet vain sen, että joku olisi huomannut, että jokin näytti pieleen.
Michael R. Pierce on NotCommonin toinen perustaja ja toimitusjohtaja. Hän suoritti sekä BBA- että MBA-tutkinnon Texasin yliopistosta Austinissa.
Tämä artikkeli on tarkoitettu yleisiin tiedotustarkoituksiin, eikä sitä ole tarkoitettu eikä sitä pidä pitää oikeudellisena tai sijoitusneuvona. Tässä esitetyt näkemykset, ajatukset ja mielipiteet ovat vain kirjoittajan omia eivätkä välttämättä heijasta tai edusta Cointelegraphin näkemyksiä ja mielipiteitä.
Lähde: https://cointelegraph.com/news/opensea-must-become-more-ambitious-about-fighting-hackers