Trh s nezaměnitelnými tokeny (NFT) zažívá boom od léta 2021 a jak ceny NFT raketově rostly, rostl i počet hacků zaměřených na NFT.
Nejnovější vysoce profilovaný hack vysál přibližně 600 etherů (ETH) v hodnotě NFT od Arthur0x, zakladatele DeFiance Capital, které byly poté prodány na OpenSea.
Zpráva o Crypto Crime Report z roku 2022, kterou zveřejnila Chainalysis, zdůraznila, že hodnota zasílaná na tržiště NFT nelegálními adresami v roce 2021 výrazně vzrostla a dosáhla těsně pod 1.4 milionu USD. Došlo také k jasnému nárůstu odcizených finančních prostředků zaslaných na tržiště NFT.
Vzhledem ke znepokojivému rychlému nárůstu nezákonné hodnoty proudící do platforem NFT je přirozené ptát se, zda jsou zavedena bezpečnostní opatření a postupy, a pokud ano, zda jsou tato opatření účinná při ochraně vlastníků.
Pojďme se podívat na OpenSea, největší platformu NFT, a její bezpečnostní opatření.
Bezpečnostní opatření na OpenSea nemohou ochránit uživatele
OpenSea má dvě hlavní bezpečnostní opatření, která se aktivují, jakmile je účet „hacknut“ – uzamknutí kompromitovaného účtu a zablokování odcizených NFT. Tato dvě opatření jsou při bližším pohledu velmi neúčinná.
Uzamčení účtu lze provést na webu OpenSea bez souhlasu člověka ukáže zde, zatímco blokování NFT zahrnuje zdlouhavý proces vybírání lístku a čekání na odpověď týmu nápovědy OpenSea.
V situaci, kdy hacker již kompromitoval peněženku a je v procesu převodu NFT, bude uzamčení účtu účinné pouze v případě, že bude provedeno dříve, než hacker převede vše ven.
Podobně je blokování NFT účinné pouze před tím, než je hacker prodá jinému kupci. Ještě horší je, že toto bezpečnostní opatření vytváří řadu nepřímých obětí, které skončí se zablokovanými NFT, které nelze prodat ani převést. Je to proto, že doba odezvy na vstupenky získané v OpenSea je alespoň jeden den. V době, kdy jsou NFT blokovány OpenSea, by již byly prodány jinému kupci, který se nyní stává novou obětí trestného činu.
V případě 17 ukradených Azuki z Arthur0x bylo 15 ukradeno během stejné minuty a dvě byly ukradeny o tři minuty později. Průměrná doba, po kterou tyto ukradené NFT zůstaly v hackerově peněžence, než byly prodány, je 43 minut. Bezpečnostní opatření OpenSea v žádném případě nereagují dostatečně rychle na to, aby informovala oběť a zastavila hackera; ani nemohou informovat kupující dostatečně rychle, aby jim zabránili v nákupu ukradených NFT a nestali se nepřímými oběťmi.
Blokování ukradených NFT vytváří nepřímé oběti
Nepřímá oběť je někdo, kdo není cílem hacku, ale nepřímo trpí finančními ztrátami způsobenými zablokováním odcizených NFT. Jak je vidět z mnoha nedávných hacků NFT, NFT se vždy prodávají před implementací bloku OpenSea. Důsledkem zablokování NFT příliš pozdě je to, že vytváří nepřímé oběti a více ztrát pro více lidí.
Abychom podrobněji ilustrovali, jak by si někdo mohl nakonec koupit ukradené NFT a stát se nepřímou obětí hacku, uvádíme tři běžné případy:
Případ 1: Alice koupila NFT, ale až později zjistila, že jde o ukradené aktivum. NFT je zablokován a Alice ho nemůže prodat ani převést na OpenSea. Poté pokračuje ve vybírání podpůrného lístku. Po několika týdnech tým OpenSea Trust & Safety nabízí vrácení 2.5% poplatků za platformu; a případně e-mailovou adresu oběti, která krádež nahlásila, pokud měla štěstí. Pak bude mít pravděpodobně dlouhou diskusi s obětí, aby vyjednala možnost zvednutí bloku, což s největší pravděpodobností nikam neskončí.
Alice může stále prodávat NFT na jiných tržištích, ale objem prodejů je pro tuto konkrétní kolekci velmi nízký a neexistuje žádný kupec, který by mohl nabídnout spravedlivou cenu na jiných platformách než OpenSea.
Případ 2: Alice učinila několik nabídek, když nabízela NFT ze sbírky. Jednu z nabídek hacker přijal, poté obdržel platbu z nabídky v peněžence oběti a přistoupil k vyklízení peněženky. NFT byl později zablokován jako součást odcizených aktiv z neoprávněných transakcí obětí.
Takové případy se často stávají, protože kótované NFT nelze převést, dokud není kotace zrušena. Hacker, který je pod časovým tlakem, s větší pravděpodobností přijme nabídku a získá výtěžek z prodeje a peníze převede. Níže uvedený případ ukazuje, jak byla celá sbírka NFT nepřímé oběti zablokována OpenSea bez vysvětlení.
Zde je moje vlákno o tom, jak @otevřené moře bezdůvodně zablokoval můj účet a zmrazil všechny mé NFT po mé nabídce 40 weth za @BoredApeYC #6267 bylo přijato.
Myslím, že je velmi důležité rozšířit tento případ mezi komunitu NFT!
Začínáme ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Listopadu 10, 2021
Případ 3: Alice vlastní NFT již nějakou dobu a najednou je zablokován a označen jako „nahlášeno pro podezřelou aktivitu“. Účet prodejce není ohrožen a transakce proběhla před chvílí. Vzhledem k tomu, že pro nahlášení odcizeného NFT a jeho zablokování není vyžadován žádný důkaz, může kdokoli poslat e-mail týmu pro boj proti podvodům OpenSea, aby zablokoval jakékoli NFT.
I když lze později požádat o policejní zprávu, OpenSea nemá jasné prohlášení, které by specifikovalo důkazy potřebné k prokázání hacku, ani podmínku, za níž lze identifikovat falešně nahlášené odcizené NFT a odstranit jej z bloku. Nepravdivé nahlášení odcizených NFT nemá žádné důsledky.
NFT jsou často blokovány bez vysvětlení nebo důkazů, jako jsou policejní zprávy poskytnuté nepřímé oběti. Teoreticky lze tyto NFT stále obchodovat na jiných platformách, ale vzhledem k monopolu společnosti OpenSea na trhu s 95 % celkových objemů obchodování NFT je zablokování jakéhokoli NFT na OpenSea téměř ekvivalentní jejich trvalému odstranění z trhu.
Blokování NFT by mohlo uměle zvýšit cenu
Nebezpečí zablokování obchodování s odcizenými NFT na největší platformě NFT OpenSea je trvalé snižování nabídky. Založeno na zákon nabídky a poptávky v ekonomické teorii, když nabídka klesá, cena stoupá.
Například kolekce Azuki má 10,000 1,100 NFT a v současné době je na OpenSea v prodeji pouze 0 17. Hack Arthur17x vedl k odcizení a zablokování 1.5. Ačkoli 1,100 NFT je pouze kolem 22 % z XNUMX XNUMX obíhajících dodávek, cena již po hacku ukázala trend rostoucího trendu. K hacku došlo XNUMX. března a cena vyvrcholil od 28. března do 20.96 E před oznámením o výsadku 31. března — 55% nárůst během týdne.
Ačkoli ne všech 17 ukradených NFT není blokováno, protože Arthurovi se podařilo některé získat zpět prostřednictvím vyjednávání s nepřímými oběťmi o jejich zpětném odkoupení, budoucí hackování v podobné formě se bude dít nepřetržitě a kumulativní počet zablokovaných NFT se může jen zvyšovat, jak budou hackování pokračovat a nejsou zavedeny žádné postupy pro jejich odblokování.
Pokud opět použijeme Azuki jako příklad, níže uvedený graf shromažďuje historický počet prodejů a průměrnou cenu za účelem vytvoření křivky poptávky a předpokládá, že křivka nabídky je lineární. Bod, kde se protínají křivky nabídky a poptávky, je rovnovážná cena.
Jak nabídka neustále klesá, rychlost růstu ceny se zrychluje, protože sklon křivky poptávky je strmější. Stejný pokles o 300 NFT v nabídce z 1,000 700 na 700 oproti 400 na XNUMX vede k většímu nárůstu ceny posledně jmenovaných.
Jak ukazuje graf níže, cena se zvýší z 15 ETH na 21 ETH ze snížení 1,000 700 na 21, ale zvýší se více z 28 ETH na 700 ETH ze snížení 400 na XNUMX.
Je jasně vidět, že zablokování odcizených NFT by mohlo uměle zvýšit cenu sbírky. Pokud by někdo chtěl využít mezery v bezpečnostním systému OpenSea tím, že falešně nahlásil mnoho NFT ze stejné sbírky jako odcizené (protože pro nahlášení odcizených NFT nejsou vyžadovány žádné důkazy), cena sbírky by se mohla dramaticky zvýšit, pokud je nabídka nízká. . Tato mezera by mohla vytvořit příležitosti pro manipulaci s cenami na nelikvidním trhu NFT.
V každém případě není blokování NFT účinným opatřením k zastavení hacku nebo potrestání hackera, ale naopak vytváří další nepřímé oběti a mezery pro manipulátory trhu. Tudy cesta rozhodně nevede, existuje tedy nějaké účinné bezpečnostní opatření?
Je třeba zavést preventivní opatření a systém založený na důkazech
Současný bezpečnostní systém OpenSea nemá zavedena žádná preventivní opatření, která by uživatele předem chránila. Všechna bezpečnostní opatření jsou implementována až po hacknutí, což je jeden z hlavních důvodů, proč jsou neúčinná.
Na základě chování hackerů je čas zásadní složkou. Bezpečnostní opatření, která mohou zpomalit hackera nebo včas informovat oběti, jsou klíčem k vítězství v bitvě. Zde jsou některá účinnější preventivní opatření, která může OpenSea implementovat:
- Vytvořte systém včasného varování, který dokáže detekovat abnormální aktivitu účtu a posílat okamžité textové zprávy nebo e-mailová upozornění, aby informoval uživatele o takové aktivitě, aby měli dostatek času na odpověď. Například, pokud účet nikdy nekoupil nebo nepřevedl více než jeden NFT během jedné minuty; nebo pokud účet nikdy v minulosti nevykonával žádné aktivity během určitého časového období (tj. časových pásem, kdy uživatel spí), výskyt takových aktivit bude detekován algoritmy strojového učení. Majitel účtu si může vybrat, zda bude informován okamžitě, nebo povolit automatické uzamčení účtu pro bezpečnost.
- Poskytnout uživatelům možnost omezit maximální počet NFT převodů nebo prodejů povolených v časovém rámci, tj. maximálně jeden převod nebo prodej během jedné minuty; nebo minimální časový interval stanovený mezi každým převodem nebo prodejem, tj. k dalšímu převodu nebo prodeji může dojít pouze 15 minut po předchozím. Tato opatření mohou zabránit hackerům ukrást velké množství NFT najednou.
- Vytvářejte řídicí panely podezřelých účtů, které obětem umožňují okamžitě přidávat kompromitované účty a účty hackerů pro veřejnou kontrolu. Všem kupujícím to poskytne informace o podezřelých účtech v reálném čase a možnost před nákupem zkontrolovat, zda je prodejce na seznamu. Důkazy, jako je policejní zpráva, mohou být později vyžádány od oběti, aby se prokázalo, že nahlášené účty jsou skutečně kompromitovány.
Některá z těchto opatření mohou způsobit falešné poplachy a nepříjemnosti. Ale vzhledem k tomu, že jde proti hackerům o čas, pokud jde o preventivní opatření, uživatelé by raději byli v bezpečí, než aby litovali, aby se nestali další obětí.
Běžné mylné představy o hackování kryptoměn
Obvyklá mylná představa o kryptohackování je, že „to se mi nestane, protože moje povědomí o bezpečnosti je vysoké a používám pevnou peněženku“. Může být pravda, že přímému škodlivému hacku by se bylo možné vyhnout pomocí dobrých bezpečnostních postupů, ale kdokoli se může stát nepřímou obětí hacku zaměřeného na někoho jiného. Když se počet hacků zvýší, šance stát se nepřímou obětí je také mnohem vyšší.
Další mylná představa zní: „Dokud nedržím ve své horké peněžence příliš mnoho peněz, nezáleží na tom, zda je peněženka kompromitována.“ Většina uživatelů si neuvědomuje, že peněžní ztráta je pouze jedním z důsledků hacku. Ztráta peněženky Web3 je jako ztráta celé kreditní historie. Jakékoli budoucí výhody založené na minulých aktivitách, jako jsou airdrops nebo přístup k půjčkám a pákový efekt, by se také mohly s ohroženou peněženkou vypařit.
Přestože je blockchain jednou z nejbezpečnějších finančních technologií, jaké kdy byly vytvořeny, největší hrozbou pro podnik Web3 jsou škodlivé hacky směrem k platformám založeným na kryptoměnách.
Vzhledem k nevratné povaze blockchainu a nedostatku preventivních bezpečnostních opatření OpenSea není těžké najít nejlepší řešení, se kterým OpenSea přišla po Aukce domény Ethereum je nabídnout hackerovi 25% zisk z prodeje výměnou za vrácení ukradených NFT. Pouze ve světě trhu NFT může být zločinec za tak závažný zločin spíše odměněn než potrestán.
Jako monopol na trhu NFT může OpenSea rozhodně dělat lépe než toto a brát bezpečnostní opatření vážněji a poskytovat svým uživatelům větší ochranu.
Názory a názory zde vyjádřené jsou výhradně názory autora a nemusí nutně odrážet názory Cointelegraph.com. Každý investiční a obchodní krok zahrnuje riziko, měli byste při svém rozhodování provádět vlastní výzkum.
Zdroj: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections