Näin OpenSean NFT-hakkerointi vahingoittaa omistajia, ostajia ja jopa kokonaisia kokoelmia

Nonfungible token (NFT) -markkinat ovat olleet kasvussa kesästä 2021 lähtien, ja kun NFT-hinnat nousivat pilviin, myös NFT-verkkoihin kohdistuvien hakkerointien määrä on kasvanut.

Viimeisin korkean profiilin hakkerointi sifonoi noin 600 eetteriä (ETH) arvosta DeFiance Capitalin perustajan Arthur0x:n NFT-sopimuksia, jotka myytiin sitten OpenSeassa.

Chainalysisin julkaisemassa vuoden 2022 kryptorikosraportissa korostettiin, että laittomien osoitteiden NFT-markkinapaikoille lähettämä arvo nousi merkittävästi vuonna 2021 ja oli hieman alle 1.4 miljoonaa dollaria. Myös NFT-markkinapaikoille lähetetyt varastetut varat kasvoivat selvästi.

*NFT-alustoille virtaava laiton kokonaisarvo. Lähde: Chainalysis Crypto Crime Report 2022*

Kun otetaan huomioon NFT-alustoille virtaavan laittoman arvon huolestuttava nopea kasvu, on luonnollista kysyä, ovatko turvatoimenpiteet ja -menettelyt käytössä ja jos ovat, ovatko nämä toimenpiteet tehokkaita suojaamaan omistajia.

Katsotaanpa OpenSeaa, suurinta NFT-alustaa, ja sen turvatoimia.

OpenSean turvatoimet eivät voi suojata käyttäjiä

OpenSeassa on kaksi tärkeintä turvatoimenpidettä, jotka käynnistyvät, kun tili on "hakkeroitu" - vaarantuneen tilin lukitseminen ja varastetun NFT:n estäminen. Nämä kaksi toimenpidettä ovat erittäin tehottomia, kun niitä tarkastellaan tarkasti.

Tilin lukitseminen voidaan tehdä OpenSea-verkkosivustolla ilman ihmisen hyväksyntää esitetty täällä, kun taas NFT:n estäminen edellyttää pitkää prosessia, jossa nostetaan lippu ja odotetaan OpenSea-aputiimin vastausta.

Tilanteessa, jossa hakkeri on jo vaarantanut lompakon ja on siirtämässä NFT-tiedostoja ulos, tilin lukitseminen on tehokasta vain, jos se tehdään ennen kuin hakkeri siirtää kaiken.

Samoin NFT:n estäminen on tehokasta vain ennen kuin hakkeri myy NFT:t toiselle ostajalle. Vielä pahempaa on, että tämä turvatoimi aiheuttaa joukon epäsuoria uhreja, jotka päätyvät estettyihin NFT:ihin, joita ei voida myydä tai siirtää. Tämä johtuu siitä, että OpenSeassa nostettujen lippujen vastausaika on vähintään yksi päivä. Kun OpenSea esti NFT:t, ne olisi jo myyty toiselle ostajalle, josta tulee nyt rikoksen uusi uhri.

Arthur17x:lta varastettujen Azukien 0 tapauksessa 15 varastettiin saman minuutin sisällä ja kaksi kolme minuuttia myöhemmin. Keskimääräinen aika, jonka nämä varastetut NFT:t olivat hakkerin lompakossa ennen myyntiä, on 43 minuuttia. OpenSean turvatoimet eivät ole millään tavalla reagoivia ja riittävän nopeita ilmoittamaan uhrille ja pysäyttämään hakkerin; He eivät myöskään voi ilmoittaa ostajille tarpeeksi nopeasti estääkseen heitä ostamasta varastettuja NFT:itä ja joutumasta välillisiksi uhreiksi.

*Varastetut Azuki NFT:t Aurther0x:ltä. Lähde:* *Etherscan.io*

Varastettujen NFT:iden estäminen luo epäsuoria uhreja

Epäsuora uhri on henkilö, joka ei ole hakkeroinnin kohteena, mutta joka kärsii epäsuorasti taloudellisista tappioista, jotka aiheutuvat varastettujen NFT:iden estämisestä. Kuten monista viimeaikaisista NFT-hakkereista näkyy, NFT:t myydään aina ennen kuin OpenSea ottaa lohkon käyttöön. Seurauksena NFT:n estämisestä liian myöhään on, että se aiheuttaa epäsuoria uhreja ja lisää tappioita useammalle ihmiselle.

Seuraavassa on kolme yleistä tapausta havainnollistaaksesi yksityiskohtaisemmin, kuinka joku voi päätyä ostamaan varastetun NFT:n ja joutua hakkeroinnin epäsuoraksi uhriksi:

Case 1: Alice osti NFT:n, mutta huomasi vasta myöhemmin, että se on varastettu omaisuus. NFT on estetty, eikä Alice voi myydä tai siirtää sitä OpenSeassa. Sitten hän jatkaa tukilipun nostamista. Useiden viikkojen jälkeen OpenSea Trust & Safety -tiimi tarjoaa hyvityksensä 2.5 % alustamaksuista; ja mahdollisesti varkaudesta ilmoittaneen uhrin sähköpostiosoite, jos onneksi. Sitten hän todennäköisesti käy pitkän keskustelun uhrin kanssa neuvotellakseen mahdollisuudesta nostaa lohko, joka todennäköisesti ei pääty mihinkään.

Alice voi edelleen myydä NFT:tä muilla markkinapaikoilla, mutta tämän kokoelman myynnin määrä on erittäin alhainen, eikä kukaan ostaja voi tarjota reilua hintaa muilla alustoilla kuin OpenSeassa.

*OpenSean vastaus epäsuoralle uhrille, joka osti varastetun NFT:n*

Case 2: Alice teki useita tarjouksia tehdessään NFT-tarjouksia kokoelmasta. Hakkeri hyväksyi yhden tarjouksista, sai sitten tarjouksen maksun uhrin lompakkoon ja ryhtyi tyhjentämään lompakkoa. NFT estettiin myöhemmin osana uhrin luvattomista tapahtumista varastettua omaisuutta.

Tällaisia tapauksia tapahtuu usein, koska listattuja NFT:itä ei voida siirtää, ellei listausta peruuteta. Hakkeri, jolla on aikapainetta, hyväksyy todennäköisemmin ostotarjouksen ja saa myyntitulot ja siirtää rahat pois. Alla oleva tapaus osoittaa, kuinka OpenSea esti epäsuoran uhrin koko NFT-kokoelman ilman selitystä.

Tässä on ketjuni kuinka @avoin meri estänyt tilini kohtuuttomasti ja jäädytti kaikki NFT:ni tarjoukseni jälkeen 40 dollaria @BoredApeYC #6267 hyväksyttiin.
Mielestäni on erittäin tärkeää levittää tätä tapausta NFT-yhteisön keskuudessa!
Aloitetaan ⬇️ pic.twitter.com/xnxctpzzpL
— Mpa3yka (@Mpa3yka) Marraskuussa 10, 2021

Case 3: Alice on omistanut NFT:n jo jonkin aikaa, ja yhtäkkiä se estetään ja merkitään "ilmoitettu epäilyttävästä toiminnasta". Myyjän tili ei ole vaarantunut ja kauppa tapahtui jokin aika sitten. Koska varastetusta NFT:stä ilmoittamiseen ja sen estämiseen ei vaadita todisteita, kuka tahansa voi lähettää sähköpostin OpenSean petostentorjuntatiimille estääkseen minkä tahansa NFT:n.

Vaikka poliisin raporttia voidaan pyytää myöhemmin, OpenSealla ei ole selkeää lausuntoa hakkeroinnin todistamiseen tarvittavista todisteista eikä edellytyksiä, joilla väärin ilmoitettu varastettu NFT voidaan tunnistaa ja nostaa lohkosta. Varastettujen NFT:iden väärällä ilmoittamisella ei ole seurauksia.

NFT:t estetään usein ilman selitystä tai todisteita, kuten epäsuoralle uhrille toimitettuja poliisiraportteja. Teoriassa näillä NFT:illä voidaan silti käydä kauppaa muilla alustoilla, mutta koska OpenSean monopoli markkinoilla on 95 % NFT:n kokonaiskaupankäynnistä, minkä tahansa NFT:n estäminen OpenSeassa vastaa melkein niiden poistamista markkinoilta ikuisesti.

NFT:n estäminen voisi keinotekoisesti nostaa hintaa

Vaara estää varastettujen NFT-verkkojen kaupankäynti suurimmalla NFT-alustalla OpenSealla on tarjonnan pysyvä väheneminen. Perustuu kysynnän ja tarjonnan laki Taloustieteen teoriassa hinta nousee, kun tarjonta laskee.

Esimerkiksi Azuki-kokoelmassa on 10,000 1,100 NFT:tä, ja tällä hetkellä vain 0 17 on myynnissä OpenSeassa. Arthur17x-hakkeroinnin seurauksena 1.5 varastettiin ja estettiin. Vaikka 1,100 NFT:tä on vain noin 22 % XNUMX XNUMX:sta kiertävästä tarjonnasta, hinta on jo osoittanut nousevaa trendiä hakkeroinnin jälkeen. Hakkerointi tapahtui XNUMX. maaliskuuta ja hinta huipussaan 28. maaliskuuta 20.96 E ennen airdrop-ilmoitusta 31. maaliskuuta – 55 % nousu viikon sisällä.

*Azukin myynti ja keskihinta hakkeroinnin jälkeen. Lähde: OpenSea*

Vaikka kaikkia 17 varastetusta NFT:stä ei ole estetty, koska Arthur onnistui saamaan osan takaisin neuvottelemalla epäsuorien uhrien kanssa niiden ostamiseksi takaisin, tulevaisuudessa samankaltaisia hakkeroita tapahtuu jatkuvasti ja estettyjen NFT:iden kumulatiivinen määrä voi vain kasvaa hakkeroinnin jatkuessa ja mitään toimenpiteitä niiden poistamiseksi ei ole käytössä.

Käyttämällä Azukia jälleen esimerkkinä, alla oleva kaavio kerää myynnin historiallisen määrän ja keskihinnan kysyntäkäyrän luomiseksi ja olettaa, että tarjontakäyrä on lineaarinen. Piste, jossa kysyntä- ja tarjontakäyrät leikkaavat, on tasapainohinta.

Kun tarjonta pienenee jatkuvasti, hintojen nousunopeus nopeutuu kysyntäkäyrän jyrkkyyden myötä. Samansuuruinen 300 NFT:n tarjonnan väheneminen 1,000 700:sta 700:aan verrattuna 400:sta XNUMX:aan johtaa jälkimmäisen suuremman hinnan nousuun.

Kuten alla olevasta kaaviosta näkyy, hinta nousee 15 ETH:sta 21 ETH:iin 1,000 700:n alennuksesta 21:aan, mutta nousee enemmän 28 ETH:sta 700 ETH:hen 400:sta XNUMX:aan.

*Azukin tarjonta- ja kysyntäkäyrä perustuu OpenSean myyntiin ja hintoihin*

On selvää, että varastettujen NFT-korttien estäminen voi nostaa keinotekoisesti kokoelman hintaa. Jos joku haluaisi käyttää hyväkseen OpenSea-turvajärjestelmän porsaanreikää ilmoittamalla virheellisesti useista NFT:istä samasta kokoelmasta kuin varastettu (koska varastettujen NFT:iden ilmoittamiseen ei vaadita todisteita), kokoelman hinta voi nousta dramaattisesti, jos tarjonta on vähäistä. . Tämä porsaanreikä voi luoda mahdollisuuksia hintojen manipulointiin epälikvideillä NFT-markkinoilla.

Joka tapauksessa NFT:n estäminen ei ole tehokas keino hakkeroinnin estämiseksi tai hakkerin rankaisemiseksi, vaan päinvastoin, se luo epäsuoria uhreja ja porsaanreikiä markkinoiden manipuloijille. Tämä ei todellakaan ole oikea tapa edetä, joten onko olemassa tehokkaita turvatoimia?

Ennaltaehkäisevät toimenpiteet ja näyttöön perustuva järjestelmä on oltava käytössä

Nykyisessä OpenSea-turvajärjestelmässä ei ole ennaltaehkäiseviä toimenpiteitä käyttäjien suojaamiseksi etukäteen. Kaikki turvatoimenpiteet otetaan käyttöön vasta hakkeroinnin jälkeen, mikä on yksi tärkeimmistä syistä niiden tehottomuuteen.

Hakkereiden käyttäytymisen perusteella aika on olennainen osatekijä. Turvatoimenpiteet, jotka voivat hidastaa hakkerin toimintaa tai ilmoittaa uhreille ajoissa, ovat avaimia taistelun voittamiseen. Tässä on joitain tehokkaampia ennaltaehkäiseviä toimenpiteitä, jotka OpenSea voi toteuttaa:

Luo varhaisvaroitusjärjestelmä, joka voi havaita epänormaalin tilitoiminnan ja lähettää välittömiä tekstiviestejä tai sähköpostihälytyksiä ilmoittaakseen käyttäjille tällaisesta toiminnasta, jotta heillä on tarpeeksi aikaa vastata. Esimerkiksi jos tili ei ole koskaan ostanut tai siirtänyt useampaa kuin yhtä NFT:tä minuutin sisällä; tai jos tilillä ei ole koskaan aiemmin ollut toimintoja tietyn ajanjakson aikana (eli aikavyöhykkeitä, jolloin käyttäjä nukkuu), koneoppimisalgoritmit havaitsevat tällaisten toimintojen esiintymisen. Tilinomistaja voi halutessaan saada tiedon välittömästi tai sallia tilin automaattisen lukituksen turvallisuuden vuoksi.

Tarjoa käyttäjille mahdollisuus rajoittaa NFT-siirtojen tai -myynnin enimmäismäärää tietyn ajanjakson sisällä, eli enintään yksi siirto tai myynti minuutin sisällä; tai kunkin luovutuksen tai myynnin väliin asetettu vähimmäisaikaväli, eli seuraava siirto tai myynti voi tapahtua vasta 15 minuuttia edellisen jälkeen. Nämä toimenpiteet voivat estää hakkereita varastamasta suurta määrää NFT-tiedostoja kerralla.

Luo epäilyttäviä tilien hallintapaneeleja, joiden avulla uhrit voivat lisätä välittömästi vaarantuneita tilejä ja hakkereiden tilejä julkista valvontaa varten. Tämä antaa kaikille ostajille reaaliaikaista tietoa epäilyttävistä tileistä ja mahdollisuuden tarkistaa ennen ostoa, onko myyjä luettelossa. Uhrilta voidaan myöhemmin pyytää todisteita, kuten poliisin raporttia, jotta voidaan osoittaa, että ilmoitetut tilit ovat todella vaarantuneet.

Jotkut näistä toimenpiteistä voivat aiheuttaa vääriä hälytyksiä ja vaivaa. Mutta koska ennaltaehkäisevien toimenpiteiden suhteen on kilpajuoksu hakkereita vastaan, käyttäjät haluavat mieluummin olla turvassa kuin katua välttääkseen joutumasta seuraavaksi uhriksi.

Yleisiä väärinkäsityksiä kryptohakkeroinnista

Yleinen väärinkäsitys kryptohakkeroinnista on, että "tätä ei tapahdu minulle, koska tietoturvani on korkea ja käytän kovaa lompakkoa". Saattaa olla totta, että suora haitallinen hakkerointi voitaisiin välttää hyvän tietoturvakäytännön avulla, mutta kuka tahansa voi joutua epäsuoraan johonkin toiseen kohdistuvan hakkeroinnin uhriksi. Kun hakkereiden määrä lisääntyy, mahdollisuus joutua epäsuoraksi uhriksi on myös paljon suurempi.

Toinen väärinkäsitys on, että "niin kauan kuin minulla ei ole liikaa rahaa kuumassa lompakossani, ei ole väliä, jos lompakko vaarantuu." Useimmat käyttäjät eivät ymmärrä, että rahallinen menetys on vain yksi hakkeroinnin seuraus. Web3-lompakon menettäminen on kuin koko luottohistorian menettäminen. Kaikki aiempaan toimintaan perustuvat tulevat hyödyt, kuten lentopudotukset tai lainojen ja vipuvaikutus, voivat myös haihtua vaarantuneen lompakon mukana.

Vaikka lohkoketju on yksi turvallisimmista koskaan luoduista rahoitustekniikoista, kryptopohjaisiin alustoihin kohdistuvat haitalliset hakkerit ovat suurin uhka Web3-yritykselle.

Ottaen huomioon lohkoketjun peruuttamattoman luonteen ja OpenSean ennaltaehkäisevien turvatoimien puutteen, ei ole vaikea nähdä parasta ratkaisua, jonka OpenSea keksi Ethereum-verkkotunnuksen huutokaupan hakkerointi on tarjota hakkereille 25 %:n myyntivoitto vastineeksi varastettujen NFT-laitteiden palauttamisesta. Vain NFT-markkinoiden maailmassa rikollinen voi saada palkkion niin vakavasta rikoksesta kuin rangaista.

NFT-markkinoiden monopolina OpenSea voi varmasti tehdä tätä paremmin ja ottaa turvatoimenpiteet vakavammin ja tarjota enemmän suojaa käyttäjilleen.

Tässä esitetyt näkemykset ja mielipiteet ovat yksinomaan tekijän kirjoituksia eivätkä välttämättä vastaa Cointelegraph.comin näkemyksiä. Jokainen investointi ja kaupankäynti liikkuu riskiin, sinun on tehtävä oma tutkimustesi tehdessään päätöstä.