Tržište nezamjenjivih tokena (NFT) cvjeta od ljeta 2021., a kako su cijene NFT-a naglo porasle, tako je rastao i broj hakova koji ciljaju na NFT.
Najnoviji visokoprofilni hak ispijao je otprilike 600 Ethera (ETH) u vrijednosti NFT-a od Arthur0xa, osnivača DeFiance Capitala, koji su potom prodani na OpenSea.
Izvješće o kripto kriminalu iz 2022. koje je objavio Chainalysis naglašava da je vrijednost poslana na NFT tržišta s ilegalnih adresa značajno skočila 2021., dostigavši nešto manje od 1.4 milijuna dolara. Također je došlo do jasnog povećanja ukradenih sredstava poslanih na NFT tržišta.
S obzirom na zabrinjavajući nagli porast nezakonite vrijednosti koja se ulijeva u NFT platforme, prirodno je zapitati se jesu li sigurnosne mjere i procedure na snazi i ako jesu, jesu li te mjere učinkovite u zaštiti vlasnika.
Pogledajmo OpenSea, najveću NFT platformu, i njegove sigurnosne mjere.
Sigurnosne mjere u OpenSea ne mogu zaštititi korisnike
OpenSea ima dvije glavne sigurnosne mjere koje se primjenjuju nakon što je račun "hakiran" - zaključavanje ugroženog računa i blokiranje ukradenih NFT-ova. Ove dvije mjere su vrlo neučinkovite kada se pogledaju izbliza.
Zaključavanje računa može se izvršiti na web stranici OpenSea bez ljudskog odobrenja kao prikazan ovdje, dok blokiranje NFT-ova uključuje dugotrajan proces podizanja ulaznice i čekanja da odgovori OpenSea tima za pomoć.
U situaciji u kojoj je haker već kompromitirao novčanik i u procesu je prijenosa NFT-ova, zaključavanje računa bit će učinkovito samo ako se izvrši prije nego što haker sve prenese.
Slično, blokiranje NFT-ova također je učinkovito samo prije nego što haker proda NFT-ove drugom kupcu. Što je još gore, ova sigurnosna mjera stvara niz neizravnih žrtava koje završavaju s blokiranim NFT-ovima koji se ne mogu prodati ili prenijeti. To je zato što je vrijeme odgovora za ulaznice prikupljene u OpenSea najmanje jedan dan. U vrijeme kada OpenSea blokira NFT-ove, oni bi već bili prodani drugom kupcu koji sada postaje nova žrtva zločina.
U slučaju 17 ukradenih Azukija od Arthur0xa, 15 je ukradeno u istoj minuti, a dva su ukradena tri minute kasnije. Prosječno vrijeme koje su ovi ukradeni NFT-ovi ostali u hakerovom novčaniku prije nego što su prodani je 43 minute. Sigurnosne mjere OpenSea ni na koji način ne reagiraju i nisu dovoljno brze da informiraju žrtvu i zaustave hakera; niti mogu obavijestiti kupce dovoljno brzo kako bi ih spriječili da kupe ukradene NFT-ove i postanu neizravne žrtve.
Blokiranje ukradenih NFT-ova stvara neizravne žrtve
Neizravna žrtva je netko tko nije meta hakiranja, ali neizravno pati od financijskih gubitaka uzrokovanih blokiranjem ukradenih NFT-ova. Kao što se vidi iz mnogih nedavnih NFT hakova, NFT-ovi se uvijek prodaju prije nego što OpenSea implementira blok. Posljedica prekasnog blokiranja NFT-ova je da stvara neizravne žrtve i više gubitaka za više ljudi.
Da bismo detaljnije ilustrirali kako bi netko mogao na kraju kupiti ukradeni NFT i postati neizravna žrtva haka, evo tri uobičajena slučaja:
Slučaj 1: Alice je kupila NFT, ali je tek kasnije saznala da se radi o ukradenoj imovini. NFT je blokiran i Alice ga ne može prodati ili prenijeti na OpenSea. Zatim nastavlja prikupljati kartu za podršku. Nakon nekoliko tjedana, OpenSea Trust & Safety tim nudi povrat 2.5% naknada za platformu; i eventualno e-mail adresu žrtve koja je prijavila krađu ako bude imala sreće. Zatim će vjerojatno imati dugu raspravu sa žrtvom kako bi pregovarala o mogućnosti podizanja blokade, što najvjerojatnije neće završiti nigdje.
Alice još uvijek može prodavati NFT na drugim tržištima, ali obujam prodaje je vrlo nizak za ovu konkretnu kolekciju i ne postoji kupac koji može ponuditi poštenu cijenu na drugim platformama osim OpenSea.
Slučaj 2: Alice je dala više ponuda dok je licitirala za NFT-ove iz zbirke. Haker je prihvatio jednu od ponuda, koji je zatim primio uplatu iz ponude u novčanik žrtve i nastavio čistiti novčanik. NFT je kasnije blokiran kao dio ukradene imovine iz neovlaštenih transakcija od strane žrtve.
Ovakvi se slučajevi često događaju jer se navedeni NFT-ovi ne mogu prenijeti osim ako se unos ne otkaže. Haker, koji je pod vremenskim pritiskom, vjerojatnije će prihvatiti ponudu i dobiti prihod od prodaje i prenijeti novac. Slučaj u nastavku pokazuje kako je cjelokupna NFT zbirka neizravne žrtve blokirana od strane OpenSea bez objašnjenja.
Evo moje teme o tome kako @opensea neopravdano blokirao moj račun i zamrznuo sve moje NFT-ove nakon moje ponude 40 weth for @BoredApeYC #6267 je prihvaćen.
Mislim da je jako važno proširiti ovaj slučaj među NFT zajednicom!
Krenimo ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Studenog 10, 2021
Slučaj 3: Alice već neko vrijeme posjeduje NFT i odjednom je blokiran i označen kao "prijavljen zbog sumnjive aktivnosti". Račun prodavatelja nije ugrožen i transakcija se dogodila prije nekog vremena. Budući da nisu potrebni dokazi za prijavu ukradenog NFT-a i njegovo blokiranje, svatko može poslati e-poruku OpenSea timu za borbu protiv prijevara da blokira bilo koji NFT.
Iako se naknadno može zatražiti policijsko izvješće, ne postoji jasna izjava OpenSea koja bi navela dokaze potrebne za dokazivanje hakiranja niti uvjet pod kojim se lažno prijavljen ukradeni NFT može identificirati i podići iz bloka. Nema posljedica za lažno prijavljivanje ukradenih NFT-ova.
NFT-ovi su često blokirani bez objašnjenja ili dokaza kao što su policijska izvješća dostavljena neizravnoj žrtvi. Teoretski, ovim se NFT-ovima još uvijek može trgovati na drugim platformama, ali s obzirom na monopol OpenSea na tržištu, s 95% ukupnog volumena NFT-a trgovanja, blokiranje bilo kojeg NFT-a na OpenSea-u gotovo je jednako trajnom uklanjanju s tržišta.
Blokiranje NFT-a moglo bi umjetno povećati cijenu
Opasnost blokiranja ukradenih NFT-ova za trgovanje na najvećoj NFT platformi OpenSea je trajno smanjenje ponude. Bazirano na zakon ponude i potražnje u ekonomskoj teoriji, kada ponuda pada, cijena raste.
Na primjer, Azuki kolekcija ima 10,000 NFT-ova, a trenutno je samo 1,100 u prodaji na OpenSea. Arthur0x hakiranje rezultiralo je ukradom i blokiranjem 17. Iako je 17 NFT-ova samo oko 1.5% od 1,100 opskrbe u optjecaju, cijena je već pokazala trend rasta nakon haka. Hak se dogodio 22. ožujka i cijena šiljast 28. ožujka do 20.96 E prije objave airdrop-a 31. ožujka — povećanje od 55% unutar tjedan dana.
Iako nije svih 17 ukradenih NFT-ova blokirano jer je Arthur uspio neke povratiti kroz pregovore s neizravnim žrtvama da ih otkupi, budući hakovi u sličnom obliku događat će se kontinuirano i kumulativni broj blokiranih NFT-ova može se samo povećavati kako se hakiranje nastavi i ne postoje postupci za njihovo deblokiranje.
Ponovo koristeći Azuki kao primjer, donji graf prikuplja povijesni broj prodaje i prosječne cijene kako bi se stvorila krivulja potražnje i pretpostavlja se da je krivulja ponude linearna. Točka u kojoj se sijeku krivulje ponude i potražnje je ravnotežna cijena.
Kako se ponuda kontinuirano smanjuje, brzina povećanja cijene postaje brža kako nagib krivulje potražnje postaje strmiji. Jednako smanjenje ponude za 300 NFT-a s 1,000 na 700 u odnosu na 700 na 400 rezultira većim povećanjem cijene za potonje.
Kao što je prikazano na donjem grafikonu, cijena raste sa 15 ETH na 21 ETH sa smanjenja od 1,000 na 700, ali raste više s 21 ETH na 28 ETH sa smanjenja od 700 na 400.
Jasno je vidjeti da bi blokiranje ukradenih NFT-ova moglo umjetno povećati cijenu zbirke. Ako je netko želio iskoristiti rupu u sigurnosnom sustavu OpenSea lažno prijavivši mnoge NFT-ove iz iste zbirke kao ukradene (budući da nisu potrebni dokazi za prijavu ukradenih NFT-ova), cijena zbirke mogla bi se dramatično povećati ako je ponuda niska . Ova bi rupa mogla stvoriti prilike za manipulaciju cijenama na nelikvidnom NFT tržištu.
U svakom slučaju, blokiranje NFT-a nije učinkovita mjera za zaustavljanje hakiranja ili kažnjavanje hakera, već naprotiv, stvara više neizravnih žrtava i rupa u rupi za tržišne manipulatore. Ovo sigurno nije pravi put, pa postoji li neka učinkovita sigurnosna mjera?
Potrebno je uspostaviti preventivne mjere i sustav utemeljen na dokazima
Trenutni sigurnosni sustav OpenSea nema preventivne mjere za zaštitu korisnika unaprijed. Sve sigurnosne mjere provode se tek nakon hakiranja, što je jedan od glavnih razloga zašto su neučinkovite.
Na temelju ponašanja hakera, vrijeme je bitna komponenta. Sigurnosne mjere koje mogu usporiti hakera ili rano obavijestiti žrtve ključ su za pobjedu u bitci. Evo nekoliko učinkovitijih preventivnih mjera koje OpenSea može provesti:
- Stvorite sustav ranog upozorenja koji može otkriti nenormalnu aktivnost računa i poslati trenutne tekstualne poruke ili upozorenja e-poštom kako bi obavijestio korisnike o takvoj aktivnosti kako bi imali dovoljno vremena za odgovor. Na primjer, ako račun nikada nije kupio ili prenio više od jednog NFT-a unutar jedne minute; ili ako račun nikada nije imao nikakve aktivnosti u prošlosti tijekom određenog vremenskog razdoblja (tj. vremenske zone kada korisnik spava), pojavu takvih aktivnosti će detektirati algoritmi strojnog učenja. Vlasnik računa može odabrati da bude odmah obaviješten ili dopustiti da se račun automatski zaključa radi sigurnosti.
- Omogućiti korisnicima mogućnost ograničavanja maksimalnog broja NFT prijenosa ili prodaje dopuštenih unutar vremenskog okvira, tj. najviše jednog prijenosa ili prodaje unutar jedne minute; ili minimalni vremenski interval između svakog prijenosa ili prodaje, tj. sljedeći prijenos ili prodaja može se dogoditi tek 15 minuta nakon prethodne. Ove mjere mogu spriječiti hakere da ukradu veliki broj NFT-ova u jednom potezu.
- Stvorite sumnjive nadzorne ploče računa koje omogućuju žrtvama da trenutno dodaju kompromitirane račune i hakerske račune radi javnog nadzora. To će svim kupcima dati informacije u stvarnom vremenu o sumnjivim računima i mogućnost unakrsne provjere je li prodavač na popisu prije kupnje. Dokaz kao što je policijsko izvješće može se kasnije zatražiti od žrtve kako bi se dokazalo da su prijavljeni računi doista kompromitirani.
Neke od ovih mjera mogu stvoriti lažne uzbune i neugodnosti. No, s obzirom na to da se radi o utrci vremena protiv hakera kada je riječ o preventivnim mjerama, korisnici bi radije bili sigurni nego žalili da ne postanu sljedeća žrtva.
Uobičajene zablude o hakiranju kriptovaluta
Uobičajena zabluda o hakiranju kriptovaluta je da mi se to neće dogoditi jer je moja sigurnosna svijest visoka i koristim tvrdi novčanik. Možda je točno da se izravni zlonamjerni hak može izbjeći dobrom sigurnosnom praksom, ali svatko bi mogao postati neizravna žrtva haka koji cilja nekog drugog. Kada se broj hakova poveća, šansa da postanete neizravna žrtva također je mnogo veća.
Još jedna zabluda je, "sve dok ne držim previše novca u svom vrućem novčaniku, nije važno je li novčanik ugrožen." Ono što većina korisnika ne shvaća je da je novčani gubitak samo jedna od posljedica haka. Gubitak Web3 novčanika je poput gubitka cijele kreditne povijesti. Sve buduće pogodnosti temeljene na prošlim aktivnostima kao što su airdrops ili pristup zajmovima i financijskom polugom također bi mogle nestati s ugroženim novčanikom.
Iako je blockchain jedna od najsigurnijih financijskih tehnologija ikad stvorenih, zlonamjerni hakovi prema kripto-temeljenim platformama najveća su prijetnja Web3 pothvatu.
S obzirom na nepovratnu prirodu blockchaina i nedostatak preventivnih sigurnosnih mjera OpenSea, nije teško vidjeti najbolje rješenje do kojeg je OpenSea došao nakon Hak na aukciji domene Ethereum je ponuditi hakeru 25% dobiti od prodaje u zamjenu za povrat ukradenih NFT-ova. Samo u svijetu NFT tržišta kriminalac može biti nagrađen, a ne kažnjen za tako ozbiljan zločin.
Kao monopol tržišta NFT-a, OpenSea sigurno može bolje od ovoga i ozbiljnije poduzeti sigurnosne mjere i pružiti veću zaštitu svojim korisnicima.
Stavovi i mišljenja izražena ovdje isključivo su mišljenja autora i ne odražavaju nužno stajališta Cointelegraph.com. Svaki investicijski i trgovački potez uključuje rizik, trebali biste sami provesti istraživanje prilikom donošenja odluke.
Izvor: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections