OpenSea fungerer som et eksempel på hvorfor kryptosikkerhet må forbedres

I februar 2022, OpenSea ble offer for et stort phishing-angrep som resulterte i over 1.7 millioner dollar nonfungible tokens (NFT) blir stjålet fra brukere. Det var ikke den eneste hendelsen: Blockchain-brukere angivelig tapte 3.9 milliarder dollar på svindelvirksomhet i 2022 alene.

Da vi gikk inn i 2023, var det et kor av løfter om å øke sikkerheten innenfor kryptoområdet. Men så langt har ikke ting endret seg nevneverdig. Selskaper som bruker blockchain gjør fortsatt ikke nok for å forhindre svindel.

Hvis blokkjedeteknologi skal se masseadopsjon, vil selskaper måtte endre tilnærmingen fra bunnen og opp. Ved å fokusere på utdanning og implementere bedre prosesser for å identifisere ondsinnet aktivitet, kan disse plattformene betjene kundene sine bedre ettersom plassen fortsetter å vokse.

Blockchain-plattformer må lære å identifisere ondsinnet aktivitet

I tilfellet med OpenSea-hacket ble ofrene bedt om å signere en ufullstendig kontrakt, tilsynelatende på plattformens forespørsel. Mens OpenSeas kjerneinfrastruktur ikke ble hacket, var de falske kontoene i stand til å dra nytte av åpen kildekode Wyvern-protokollen. Hackere var da i stand til å bruke eierens signatur å bli overført til en falsk kontrakt som ga dem eierskap uten å måtte betale for NFT-ene.

Relatert: 10 spådommer for krypto i 2023

OpenSea reverserte nylig noen av sine tidligere retningslinjer etter det rapportert at 80 % av NFT-er laget gratis på plattformen ble plagiert eller spam. OpenSea er også avhengig av tillit til utviklerne som bruker API-en, som ikke er en idiotsikker måte å vurdere risiko på. Disse utviklerne kan bruke APIen til ondsinnede formål for å dra nytte av brukere som signerer kontrakter de ikke leser.

Smarte kontrakter er en integrert del av blockchain-motoren og kan finnes overalt, fra NFT-børser til veritable desentraliserte applikasjoner. Å forstå hvordan disse kontraktene fungerer er avgjørende for å holde brukerne sikre. I stedet for å finne opp hjulet på nytt, kan selskaper implementere standardprotokoller for å sikre at smarte kontrakter er motstandsdyktige og beskyttet mot ondsinnet aktivitet. Derfra kan selskaper dra nytte av blokkjedens fleksible natur og tilpasse kontrakten deres, som å sette opp multisignatur-lommebøker og regelmessig enhetstesting.

Pass deg for søppelposten

Hvis du ser etter den populære Mutant Hounds-kolleksjonen på OpenSeas toppsamlinger, er det ingen indikasjon på hvilken samling som er legitim. Mangel på bekreftelse kan føre til at det dannes falske samlinger, og øker prisen kunstig for å få det til å virke legitimt og forvirrende for brukerne. Falske samlinger distribueres ofte gjennom airdrops, ment å bli funnet gjennom en NFT-plattforms søkefunksjonalitet.

Relatert: Hva Paul Krugman tar feil om krypto

Søppelpostsamlinger kan også sende brukere NFT-er de ikke ba om via airdrops. Brukere vil ikke bli omdirigert gjennom plattformen der de holder en samling, for eksempel OpenSea, men via et annet nettsted der svindelen skjer.

Dette er en vanlig risiko som kan håndteres av plattformer som overvåker slik aktivitet, enten gjennom en crowdsourcet database som sporer uredelige kontoer eller et administrativt verktøy som vet hva de skal se etter og er konstant klar over oppdaterte svindel. I tillegg kan NFT-plattformer kreve at bud skal være i samme valuta som noteringen for å unngå forvirring. Mange brukere har blitt lurt ved å akseptere et tilbud i en mindre verdifull valuta enn den de la NFT for salg i. Blockchain-plattformer kan stole på data for å avsløre deres uteliggere ved å flagge mistenkelig aktivitet basert på uregelmessig aktivitet blant et lite antall innehavere.

Selvfølgelig må det bemerkes at selskaper som OpenSea er i den utfordrende posisjonen å måtte politie uredelige kontoer som preger på deres plattform. I mange tilfeller koker det ned til et behov for mer verifisering av den offisielle samlingen.

Onboarding er en integrert del av forretningsplanen

Onboarding bør være en kjernedel av blockchain-opplevelsen for veteraner og nybegynnere. I likhet med smarte kontrakter bør det å etablere klare brukerretningslinjer og fremheve potensielle risikoer betraktes som en av de grunnleggende beste praksisene for å sikre brukersikkerhet. Disse veiledningene bør gjennomgås regelmessig, ta hensyn til risikovurdering, og justeres deretter etter hvert som blokkjeden modnes.

Blant erfarne brukere er initialismen "DYOR" vanlig blant brukere på blokkjeden. Som en forkortelse for "gjør din egen forskning" har dette uttrykket blitt en uuttalt regel for de som samhandler med potensielle investeringsmuligheter. Likevel kan det være utfordrende for nykommere å vite nøyaktig hvor de skal begynne. Det er et kor av uoverensstemmende informasjon fra påvirkere i området som ofte presser på den neste store tingen og driver risikofylte investeringer, noe som resulterer i at brukere blir ofre for svindel eller tap av eiendeler. Retningslinjer og undervisningsmateriell bør være lett tilgjengelig, tilpasset hver plattforms verdisystem og unike risikoer.

Beste praksis bør være en prioritet for alle blockchain-plattformer

Ettersom blokkjedefellesskapet for tiden jobber gjennom sine vekstsmerter, bør selskaper ta de harde leksjonene fra store utnyttelser som de på OpenSea og avgrense sikkerhetsprotokollene for å sikre at det ikke skjer igjen. Å lære inn og ut av grunnleggende teknologi, fra smarte kontrakter til hvordan man beskytter ens frøfrase, bør være utgangspunktet. Derfra kan du lære hvordan du implementerer og vedlikeholder beste praksis, for eksempel å identifisere ondsinnet aktivitet og de som skaper kaos. Kanskje alt som skulle til for å forhindre noen av de siste storskala hackingene var ganske enkelt at noen la merke til at noe virket feil.

Denne artikkelen er for generell informasjonsformål og er ikke ment å være og skal ikke tas som juridisk eller investeringsråd. Synspunktene, tankene og meningene som uttrykkes her er forfatterens alene og reflekterer eller representerer ikke nødvendigvis synspunktene og meningene til Cointelegraph.