Nesavietojamo marķieru (NFT) tirgus ir plaukstošs kopš 2021. gada vasaras, un, tā kā NFT cenas strauji pieauga, palielinājās arī uzlaušanas gadījumu skaits, kuru mērķis ir NFT.
Pēdējā augsta līmeņa uzlaušanas rezultātā tika izsūkti aptuveni 600 Ether (ETH) vērts NFT no Arthur0x, DeFiance Capital dibinātāja, kas pēc tam tika pārdoti OpenSea.
Chainalysis publicētajā 2022. gada Kripto noziegumu ziņojumā tika uzsvērts, ka vērtība, ko NFT tirgiem no nelegālām adresēm nosūtīja, 2021. gadā ievērojami pieauga, sasniedzot nedaudz mazāk par 1.4 miljoniem ASV dolāru. Tāpat nepārprotami palielinājās uz NFT tirgiem nosūtīto nozagto līdzekļu apjoms.
Ņemot vērā NFT platformās ieplūstošās nelegālās vērtības satraucošo straujo pieaugumu, ir dabiski jautāt, vai drošības pasākumi un procedūras ir ieviestas un, ja ir, vai šie pasākumi ir efektīvi īpašnieku aizsardzībā.
Apskatīsim lielāko NFT platformu OpenSea un tās drošības pasākumus.
OpenSea drošības pasākumi nevar aizsargāt lietotājus
OpenSea ir divi galvenie drošības pasākumi, kas tiek ieviesti, tiklīdz konts ir "uzlauzts" — uzlauztā konta bloķēšana un nozagto NFT bloķēšana. Šie divi pasākumi ir ļoti neefektīvi, ja tos rūpīgi aplūko.
Konta bloķēšanu var veikt OpenSea vietnē bez cilvēka apstiprinājuma kā parādīts Turpretī NFT bloķēšana ir saistīta ar ilgstošu biļetes palielināšanas procesu un OpenSea palīdzības komandas atbildes gaidīšanu.
Situācijā, kad hakeris jau ir uzlauzis maku un pašlaik pārsūta NFT, konta bloķēšana būs efektīva tikai tad, ja tā tiks veikta, pirms hakeris visu pārsūtīs.
Tāpat arī NFT bloķēšana ir efektīva tikai pirms hakeris NFT pārdod citam pircējam. Vēl sliktāk ir tas, ka šis drošības pasākums rada virkni netiešu upuru, kuri nonāk pie bloķētiem NFT, kurus nevar pārdot vai nodot. Tas ir tāpēc, ka atbildes laiks OpenSea iegūtajām biļetēm ir vismaz viena diena. Līdz brīdim, kad OpenSea bloķēs NFT, tie jau būtu pārdoti citam pircējam, kurš tagad kļūst par jauno nozieguma upuri.
No Arthur17x 0 nozagtajiem Azuki 15 tika nozagti tās pašas minūtes laikā un divi tika nozagti trīs minūtes vēlāk. Vidējais laiks, kad šie nozagtie NFT atradās hakeru makā pirms to pārdošanas, ir 43 minūtes. OpenSea drošības pasākumi nekādā ziņā nav atsaucīgi un pietiekami ātri, lai informētu upuri un apturētu hakeri; viņi arī nevar pietiekami ātri informēt pircējus, lai tie neļautu pirkt nozagtos NFT un nekļūt par netiešiem upuriem.
Nozagtu NFT bloķēšana rada netiešus upurus
Netiešs upuris ir kāds, kurš nav uzlaušanas mērķis, bet netieši cieš no finansiāliem zaudējumiem, ko izraisa nozagto NFT bloķēšana. Kā redzams no daudziem nesenajiem NFT uzlaušanas gadījumiem, NFT vienmēr tiek pārdoti, pirms OpenSea ir ieviesis bloku. Pārāk vēlu NFT bloķēšanas sekas ir tādas, ka tas rada netiešus upurus un vairāk cilvēku zaudē vairāk zaudējumu.
Lai detalizētāk ilustrētu, kā ikviens var iegādāties zagtu NFT un kļūt par netiešu uzlaušanas upuri, šeit ir trīs izplatīti gadījumi:
Case 1: Alise nopirka NFT, bet tikai vēlāk uzzināja, ka tas ir zagts īpašums. NFT ir bloķēts, un Alise nevar to pārdot vai nodot OpenSea. Pēc tam viņa turpina vākt atbalsta biļeti. Pēc vairākām nedēļām OpenSea Trust & Safety komanda piedāvā atmaksāt 2.5% platformas maksas; un, iespējams, cietušā e-pasta adrese, kurš ziņoja par zādzību, ja paveicas. Pēc tam viņai, visticamāk, būs ilgstošas diskusijas ar upuri, lai apspriestu iespēju pacelt bloku, kas, visticamāk, nekur nenonāks.
Alise joprojām var pārdot NFT citos tirgos, taču pārdošanas apjoms šai konkrētajai kolekcijai ir ļoti zems, un nav pircēja, kas varētu piedāvāt godīgu cenu citās platformās, izņemot OpenSea.
Case 2: Alise izteica vairākus piedāvājumus, solot NFT no kolekcijas. Vienu no piedāvājumiem hakeris pieņēma, pēc tam saņemot samaksu par solījumu upura makā un kārtojot maku. NFT vēlāk tika bloķēts kā daļa no nozagtajiem aktīviem no cietušā neatļautiem darījumiem.
Šādi gadījumi bieži notiek tāpēc, ka sarakstā iekļautos NFT nevar pārsūtīt, ja vien ieraksts netiek atcelts. Hakeris, kurš ir pakļauts laika spiedienam, visticamāk pieņems piedāvājuma piedāvājumu un saņems ieņēmumus no pārdošanas un pārskaitīs naudu. Tālāk redzamais gadījums parāda, kā OpenSea bez paskaidrojumiem bloķēja visu netiešā upura NFT kolekciju.
Šeit ir mans pavediens par to, kā @opensea Nepamatoti bloķēja manu kontu un iesaldēja visus manus NFT pēc mana piedāvājuma 40 weth for @BoredApeYC #6267 tika pieņemts.
Es domāju, ka ir ļoti svarīgi izplatīt šo lietu NFT kopienā!
Sāksim ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Novembris 10, 2021
Case 3: Alisei jau ilgu laiku pieder NFT, un pēkšņi tas tiek bloķēts un atzīmēts kā “ziņots par aizdomīgu darbību”. Pārdevēja konts nav apdraudēts un darījums noticis pirms kāda laika. Tā kā nav nepieciešami pierādījumi, lai ziņotu par nozagtu NFT un to bloķētu, ikviens var nosūtīt e-pasta ziņojumu OpenSea krāpšanas apkarošanas komandai, lai bloķētu jebkuru NFT.
Lai gan vēlāk var pieprasīt policijas ziņojumu, OpenSea nav nedz skaidra paziņojuma, kas precizētu pierādījumus, kas nepieciešami, lai pierādītu uzlaušanu, nedz nosacījumu, saskaņā ar kuru varētu identificēt un izņemt no bloka nepatiesi ziņots par nozagtu NFT. Nepatiesa ziņošana par zagtiem NFT nav nekādu seku.
NFT bieži tiek bloķēti bez paskaidrojumiem vai pierādījumiem, piemēram, policijas ziņojumiem, kas tiek sniegti netiešajam upurim. Teorētiski šos NFT joprojām var tirgot citās platformās, taču, ņemot vērā OpenSea monopolu tirgū, ar 95% no kopējiem NFT tirdzniecības apjomiem, jebkura NFT bloķēšana OpenSea ir gandrīz līdzvērtīga to izņemšanai no tirgus uz visiem laikiem.
NFT bloķēšana varētu mākslīgi paaugstināt cenu
Nozagto NFT bloķēšanas risks lielākajā NFT platformā OpenSea ir pastāvīgs piedāvājuma samazinājums. Pamatojoties uz piedāvājuma un pieprasījuma likums ekonomikas teorijā, kad piedāvājums samazinās, cena pieaug.
Piemēram, Azuki kolekcijā ir 10,000 1,100 NFT, un pašlaik tikai 0 tiek pārdoti vietnē OpenSea. Arthur17x uzlaušanas rezultātā 17 tika nozagti un bloķēti. Lai gan 1.5 NFT ir tikai aptuveni 1,100% no 22 apgrozībā esošajiem piedāvājumiem, cena jau ir parādījusi pieauguma tendenci pēc uzlaušanas. Uzlaušana notika XNUMX. martā un cena sasniedzis maksimumu 28. martā līdz 20.96 E pirms airdrop paziņojuma 31. martā — 55% pieaugums nedēļas laikā.
Lai gan ne visi no 17 nozagtajiem NFT ir bloķēti, jo Arturam izdevās dažus atgūt, sarunājoties ar netiešajiem upuriem, lai tos atpirktu, turpmāki uzlaušanas gadījumi līdzīgā formā notiks nepārtraukti, un kopējais bloķēto NFT skaits var tikai pieaugt, turpinoties uzlaušanai un nav ieviestas procedūras to atbloķēšanai.
Atkal izmantojot Azuki kā piemēru, tālāk esošajā diagrammā ir apkopots vēsturiskais pārdošanas apjoms un vidējā cena, lai izveidotu pieprasījuma līkni, un tiek pieņemts, ka piedāvājuma līkne ir lineāra. Punkts, kur krustojas piedāvājuma un pieprasījuma līknes, ir līdzsvara cena.
Piedāvājumam nepārtraukti samazinoties, cenas pieauguma ātrums kļūst straujāks, jo pieprasījuma līknes slīpums kļūst stāvāks. Vienlīdzīgs piedāvājuma samazinājums par 300 NFT no 1,000 uz 700 pretstatā no 700 uz 400 rada lielāku cenu pieaugumu pēdējam.
Kā parādīts zemāk esošajā grafikā, cena pieaug no 15 ETH līdz 21 ETH no 1,000 uz 700 samazinājumu, bet palielinās vairāk no 21 ETH uz 28 ETH no 700 uz 400 ETH.
Ir skaidri redzams, ka nozagto NFT bloķēšana varētu mākslīgi palielināt kolekcijas cenu. Ja kāds vēlētos izmantot OpenSea drošības sistēmas nepilnības, nepatiesi ziņojot par daudziem NFT no tās pašas kolekcijas, kurā ir nozagti (jo nav nepieciešami pierādījumi, lai ziņotu par nozagtiem NFT), kolekcijas cena varētu ievērojami palielināties, ja piedāvājums ir zems. . Šī nepilnība varētu radīt iespējas manipulēt ar cenām nelikvīdajā NFT tirgū.
Jebkurā gadījumā NFT bloķēšana nav efektīvs pasākums, lai apturētu uzlaušanu vai sodītu hakeru, bet, gluži pretēji, rada vairāk netiešu upuru un nepilnības tirgus manipulatoriem. Tas noteikti nav pareizais ceļš, tāpēc vai ir kāds efektīvs drošības līdzeklis?
Ir jāievieš preventīvi pasākumi un uz pierādījumiem balstīta sistēma
Pašreizējā OpenSea drošības sistēmā nav ieviesti preventīvi pasākumi lietotāju iepriekšējai aizsardzībai. Visi drošības pasākumi tiek ieviesti tikai pēc uzlaušanas, kas ir viens no galvenajiem iemesliem, kāpēc tie ir neefektīvi.
Pamatojoties uz hakeru uzvedību, laiks ir būtiska sastāvdaļa. Drošības pasākumi, kas var palēnināt hakeru vai savlaicīgi informēt upurus, ir atslēgas uzvarai cīņā. Šeit ir daži efektīvāki preventīvie pasākumi, ko OpenSea var īstenot:
- Izveidojiet agrīnās brīdināšanas sistēmu, kas var noteikt neparastas konta darbības un nosūtīt tūlītējas īsziņas vai e-pasta brīdinājumus, lai informētu lietotājus par šādām darbībām, lai viņiem būtu pietiekami daudz laika atbildēt. Piemēram, ja konts nekad nav iegādājies vai pārskaitījis vairāk nekā vienu NFT vienas minūtes laikā; vai ja kontā iepriekš nav bijušas nekādas darbības noteiktā laika periodā (ti, laika joslas, kad lietotājs guļ), šādu darbību rašanos noteiks mašīnmācīšanās algoritmi. Konta īpašnieks var izvēlēties nekavējoties saņemt informāciju vai atļaut konta automātisku bloķēšanu drošības nolūkos.
- Sniegt lietotājiem iespēju ierobežot maksimālo atļauto NFT pārskaitījumu vai pārdošanas skaitu noteiktā laika posmā, ti, ne vairāk kā vienu pārsūtīšanu vai pārdošanu vienas minūtes laikā; vai minimālais laika intervāls, kas noteikts starp katru nodošanu vai pārdošanu, ti, nākamā nodošana vai pārdošana var notikt tikai 15 minūtes pēc iepriekšējās. Šie pasākumi var neļaut hakeriem vienā reizē nozagt lielu skaitu NFT.
- Izveidojiet aizdomīgus kontu informācijas paneļus, kas ļauj upuriem acumirklī pievienot apdraudētus kontus un hakeru kontus publiskai pārbaudei. Tas visiem pircējiem sniegs reāllaika informāciju par aizdomīgiem kontiem un iespēju pirms pirkuma pārbaudīt, vai pārdevējs ir iekļauts sarakstā. Vēlāk no cietušā var pieprasīt pierādījumus, piemēram, policijas ziņojumu, lai pierādītu, ka ziņotie konti patiešām ir apdraudēti.
Daži no šiem pasākumiem var radīt viltus trauksmes signālus un radīt neērtības. Taču, ņemot vērā, ka preventīvo pasākumu jomā notiek laika sacīkstes pret hakeriem, lietotāji drīzāk būtu droši, nekā nožēlos, lai nekļūtu par nākamo upuri.
Izplatīti maldīgi priekšstati par kriptovalūtu uzlaušanu
Izplatīts nepareizs priekšstats par kriptovalūtu uzlaušanu ir tāds, ka “ar mani tas nenotiks, jo mana drošības izpratne ir augsta un es izmantoju cieto maku”. Tā varētu būt taisnība, ka no tiešas ļaunprātīgas uzlaušanas var izvairīties, izmantojot labu drošības praksi, taču ikviens var kļūt par netiešu upuri, ja uzlaušana ir vērsta uz kādu citu. Palielinoties uzlaušanas skaitam, arī iespēja kļūt par netiešu upuri ir daudz lielāka.
Vēl viens nepareizs priekšstats ir: "Kamēr es neglabāju pārāk daudz naudas savā karstajā makā, nav nozīmes tam, vai maciņš ir apdraudēts." Lielākā daļa lietotāju neapzinās, ka naudas zaudējumi ir tikai viens no uzlaušanas gadījumiem. Web3 maka pazaudēšana ir kā visas kredītvēstures pazaudēšana. Jebkuri nākotnes ieguvumi, kas balstīti uz pagātnes darbībām, piemēram, gaisa kuģi vai piekļuve aizdevumiem un sviras līdzekļiem, arī varētu izgaist līdz ar apdraudēto maku.
Lai gan blokķēde ir viena no drošākajām finanšu tehnoloģijām, kas jebkad radītas, ļaunprātīga uzlaušana uz kriptovalūtu platformām ir lielākais drauds Web3 uzņēmumam.
Ņemot vērā blokķēdes neatgriezenisko raksturu un OpenSea preventīvo drošības pasākumu trūkumu, nav grūti atrast labāko risinājumu, ko OpenSea nāca klajā pēc Ethereum domēna izsoles uzlaušana ir piedāvāt hakeram 25% peļņu no pārdošanas apmaiņā pret nozagto NFT atgriešanu. Tikai NFT tirgus pasaulē noziedznieks par tik smagu noziegumu var saņemt atlīdzību, nevis sodu.
Kā NFT tirgus monopols OpenSea noteikti var darīt labāk nekā šis un nopietnāk veikt drošības pasākumus un nodrošināt lielāku aizsardzību saviem lietotājiem.
Šeit izteiktie viedokļi un uzskati ir tikai autora viedokļi un ne vienmēr atspoguļo Cointelegraph.com viedokli. Katrs ieguldījumu un tirdzniecības solis ir saistīts ar risku, pieņemot lēmumu, jums pašam jāveic pētījumi.
Avots: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections