Markedet for nonfungible token (NFT) har vært i oppblomstring siden sommeren 2021, og ettersom NFT-prisene skjøt i været, økte også antallet hacks rettet mot NFT-er.
Det siste høyprofilerte hacket hentet omtrent 600 Ether (ETH) verdi av NFT-er fra Arthur0x, grunnleggeren av DeFiance Capital, som deretter ble solgt på OpenSea.
En 2022 Crypto Crime Report publisert av Chainalysis fremhevet at verdien som ble sendt til NFT-markedsplasser av ulovlige adresser, økte betydelig i 2021, og nådde like under 1.4 millioner dollar. Det var også en klar økning i stjålne midler sendt til NFT-markedsplasser.
Gitt den bekymringsfulle raske økningen i ulovlig verdi som strømmer inn i NFT-plattformene, er det naturlig å spørre om sikkerhetstiltak og prosedyrer er på plass og i så fall om disse tiltakene er effektive for å beskytte eiere.
La oss ta en titt på OpenSea, den største NFT-plattformen, og dens sikkerhetstiltak.
Sikkerhetstiltakene hos OpenSea kan ikke beskytte brukere
OpenSea har to hovedsikkerhetstiltak som slår inn når en konto har blitt "hacket" – låsing av den kompromitterte kontoen og blokkering av stjålne NFT-er. Disse to tiltakene er svært ineffektive når man ser nærmere på dem.
Låsing av kontoen kan gjøres på OpenSea-nettstedet uten menneskelig godkjenning som vist her, mens blokkering av NFT-er innebærer en langvarig prosess med å skaffe en billett og vente på at OpenSea-hjelpeteamet skal svare.
I en situasjon der en hacker allerede har kompromittert lommeboken og er i ferd med å overføre NFT-ene ut, vil låsing av kontoen bare være effektiv hvis det gjøres før hackeren overfører alt.
På samme måte er blokkering av NFT-ene også bare effektiv før NFT-ene selges til en annen kjøper av hackeren. Det som er enda verre er at dette sikkerhetstiltaket skaper en rekke indirekte ofre som ender opp med blokkerte NFT-er som ikke kan selges eller overføres. Dette er fordi responstiden for billetter innhentet i OpenSea er minst én dag. Innen NFT-ene er blokkert av OpenSea, ville de allerede ha blitt solgt til en annen kjøper som nå blir det nye offeret for forbrytelsen.
I tilfellet med de 17 stjålne Azukiene fra Arthur0x, ble 15 stjålet i løpet av samme minutt og to ble stjålet tre minutter senere. Gjennomsnittstiden disse stjålne NFT-ene oppholdt seg i hackerens lommebok før de ble solgt er 43 minutter. Sikkerhetstiltakene fra OpenSea er på ingen måte responsive og raske nok til å informere offeret og stoppe hackeren; De kan heller ikke informere kjøperne raskt nok til å stoppe dem fra å kjøpe de stjålne NFT-ene og bli indirekte ofre.
Blokkering av stjålne NFT-er skaper indirekte ofre
Et indirekte offer er noen som ikke er målet for hacket, men som indirekte lider av økonomiske tap forårsaket av blokkering av de stjålne NFT-ene. Som det fremgår av mange nyere NFT-hack, selges NFT-ene alltid før blokkeringen implementeres av OpenSea. Konsekvensen av å blokkere NFT-ene for sent er at det skaper indirekte ofre og flere tap for flere.
For å illustrere mer detaljert hvordan noen kan ende opp med å kjøpe en stjålet NFT og bli et indirekte offer for et hack, her er tre vanlige tilfeller:
Sak 1: Alice kjøpte en NFT, men fant først ut senere at det er en stjålet eiendel. NFT er blokkert og Alice kan ikke selge eller overføre det på OpenSea. Hun fortsetter deretter med å skaffe en støttebillett. Etter flere uker tilbyr OpenSea Trust & Safety-teamet å refundere plattformavgiftene på 2.5 %; og eventuelt e-postadressen til offeret som meldte fra om tyveriet hvis heldig. Deretter vil hun sannsynligvis ha en lang diskusjon med offeret for å forhandle om muligheten for å løfte blokken, som mest sannsynlig vil ende ingensteds.
Alice kan fortsatt selge NFT på andre markedsplasser, men salgsvolumet er svært lavt for denne spesielle samlingen, og det er ingen kjøper som kan tilby en rettferdig pris på andre plattformer enn OpenSea.
Sak 2: Alice ga flere tilbud mens hun budde på NFT-er fra en samling. Et av tilbudene ble akseptert av hackeren, som deretter mottok betalingen fra budet i offerets lommebok og fortsatte med å rydde ut i lommeboken. NFT ble senere blokkert som en del av de stjålne eiendelene fra uautoriserte transaksjoner av offeret.
Tilfeller som dette skjer ofte fordi listede NFT-er ikke kan overføres med mindre oppføringen kanselleres. Hackeren, som er under tidspress, vil være mer sannsynlig å akseptere et bud og få inntektene fra salget og overføre pengene. Saken nedenfor viser hvordan hele det indirekte offerets NFT-samling ble blokkert av OpenSea uten forklaring.
Her er tråden min om hvordan @åpent hav urimelig blokkert kontoen min og fryst alle mine NFT-er etter tilbudet mitt 40 weth for @BoredApeYC #6267 ble akseptert.
Jeg tror det er veldig viktig å spre denne saken blant NFT-miljøet!
La oss starte ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) November 10, 2021
Sak 3: Alice har eid en NFT i ganske lang tid, og plutselig er den blokkert og merket som "rapportert for mistenkelig aktivitet." Selgerens konto er ikke kompromittert, og transaksjonen skjedde for en stund siden. Siden det ikke kreves bevis for å rapportere en stjålet NFT og blokkere den, kan hvem som helst sende en e-post til OpenSeas anti-svindelteam for å blokkere enhver NFT.
Selv om en politirapport kan bes om senere, er det verken en klar uttalelse fra OpenSea for å spesifisere bevisene som trengs for å bevise hacket eller en betingelse for at en falsk rapportert stjålet NFT kan identifiseres og løftes fra blokken. Det er ingen konsekvens å feilaktig rapportere stjålne NFT-er.
NFT-er er ofte blokkert uten forklaring eller bevis som politirapporter gitt til det indirekte offeret. Teoretisk sett kan disse NFT-ene fortsatt handles på andre plattformer, men gitt OpenSeas monopol på markedet, med 95 % av de totale NFT-handelsvolumene, er blokkering av enhver NFT på OpenSea nesten det samme som å ta dem ut av markedet for alltid.
Blokkering av NFT-er kan kunstig øke prisen
Faren for å blokkere stjålne NFT-er fra handel på den største NFT-plattformen OpenSea er den permanente reduksjonen i tilbudet. Basert på lov om tilbud og etterspørsel i økonomiteori, når tilbudet går ned, går prisen opp.
Som et eksempel har Azuki-samlingen 10,000 1,100 NFT-er, og for øyeblikket er bare 0 til salgs på OpenSea. Arthur17x-hakket resulterte i at 17 ble stjålet og blokkert. Selv om 1.5 NFT-er bare er rundt 1,100 % av det 22 sirkulerende tilbudet, har prisen allerede vist en trend til å øke etter hacket. Hacket skjedde XNUMX. mars og prisen toppet den 28. mars til 20.96 E før kunngjøringen om luftdropp 31. mars — en økning på 55 % innen en uke.
Selv om ikke alle de 17 stjålne NFT-ene er blokkert ettersom Arthur klarte å gjenopprette noen gjennom å forhandle med de indirekte ofrene for å kjøpe dem tilbake, vil fremtidige hacks i lignende form skje kontinuerlig, og det kumulative antallet blokkerte NFT-er kan bare øke ettersom hackingene fortsetter og ingen prosedyrer er på plass for å fjerne blokkeringen.
Ved å bruke Azuki som eksempel igjen, samler grafen nedenfor det historiske antallet salg og gjennomsnittlig pris for å lage en etterspørselskurve og antar at tilbudskurven er lineær. Punktet der tilbuds- og etterspørselskurvene krysser hverandre er likevektsprisen.
Ettersom tilbudet kontinuerlig avtar, blir hastigheten på økningen i prisen raskere ettersom helningen på etterspørselskurven blir brattere. En lik nedgang på 300 NFT-er i tilbudet fra 1,000 til 700 versus fra 700 til 400 resulterer i en større prisøkning for sistnevnte.
Som vist i grafen nedenfor, øker prisen fra 15 ETH til 21 ETH fra 1,000 til 700 reduksjonen, men øker mer fra 21 ETH til 28 ETH fra 700 til 400 reduksjonen.
Det er tydelig å se at blokkering av de stjålne NFT-ene kan kunstig øke prisen på samlingen. Hvis noen ønsket å utnytte smutthullet i OpenSea-sikkerhetssystemet ved å feilaktig rapportere mange NFT-er fra samme samling som stjålne (siden det ikke kreves bevis for å rapportere stjålne NFT-er), kan prisen på samlingen øke dramatisk hvis tilbudet er lavt . Dette smutthullet kan skape muligheter for prismanipulasjon i det illikvide NFT-markedet.
Blokkering av NFT-er er uansett ikke et effektivt tiltak for å stoppe hacket eller straffe hackeren, men skaper tvert imot flere indirekte ofre og smutthull for markedsmanipulatorer. Dette er absolutt ikke veien å gå, så er det noe effektivt sikkerhetstiltak?
Forebyggende tiltak og et evidensbasert system må på plass
Det nåværende OpenSea sikkerhetssystemet har ingen forebyggende tiltak på plass for å beskytte brukere på forhånd. Alle sikkerhetstiltakene implementeres først etter hacket, som er en av hovedårsakene til at de er ineffektive.
Basert på atferden til hackerne er tid en viktig komponent. Sikkerhetstiltak som kan bremse hackeren eller informere ofrene tidlig er nøkkelen til å vinne kampen. Her er noen mer effektive forebyggende tiltak som kan implementeres av OpenSea:
- Lag et tidlig varslingssystem som kan oppdage unormal kontoaktivitet og sende umiddelbare tekstmeldinger eller e-postvarsler for å informere brukere om slik aktivitet slik at de har nok tid til å svare. For eksempel, hvis kontoen aldri har kjøpt eller overført mer enn én NFT innen ett minutt; eller hvis kontoen aldri har hatt noen aktiviteter tidligere i løpet av en bestemt tidsperiode (dvs. tidssoner når brukeren sover), vil forekomsten av slike aktiviteter bli oppdaget av maskinlæringsalgoritmer. Kontoinnehaveren kan velge å bli informert umiddelbart, eller la kontoen låses automatisk for sikkerhets skyld.
- Gi brukerne muligheten til å begrense det maksimale antallet NFT-overføringer eller salg som er tillatt innenfor en tidsramme, dvs. maksimalt én overføring eller salg innen ett minutt; eller et minimumstidsintervall pålagt mellom hver overføring eller salg, dvs. neste overføring eller salg kan bare skje 15 minutter etter den forrige. Disse tiltakene kan forhindre hackere i å stjele et stort antall NFT-er på én gang.
- Lag mistenkelige kontokontroller som lar ofre umiddelbart legge til kompromitterte kontoer og hackerkontoer for offentlig gransking. Dette vil gi alle kjøpere sanntidsinformasjon om mistenkelige kontoer og muligheten til å krysssjekke om selgeren er på listen før de kjøper. Bevis som en politirapport kan senere bes om fra offeret for å bevise at de rapporterte kontoene faktisk er kompromittert.
Noen av disse tiltakene kan skape falske alarmer og ulemper. Men gitt at det er et tidsløp mot hackeren når det kommer til forebyggende tiltak, vil brukere heller være trygge enn beklager for å unngå å bli det neste offeret.
Vanlige misoppfatninger om kryptohacking
En vanlig misforståelse om kryptohacking er at "dette vil ikke skje med meg fordi sikkerhetsbevisstheten min er høy og jeg bruker en hard lommebok." Det kan være sant at et direkte ondsinnet hack kan unngås gjennom god sikkerhetspraksis, men hvem som helst kan bli et indirekte offer for et hack rettet mot noen andre. Når antallet hacks øker, er sjansen for å bli et indirekte offer også mye høyere.
En annen misforståelse er, "så lenge jeg ikke har for mye penger i den varme lommeboken min, spiller det ingen rolle om lommeboken er kompromittert." Det de fleste brukere ikke innser er at pengetap bare er en konsekvens av hacket. Å miste en Web3-lommebok er som å miste hele kreditthistorikken. Eventuelle fremtidige fordeler basert på tidligere aktiviteter som airdrops eller tilgang til lån og innflytelse kan også forsvinne med den kompromitterte lommeboken.
Selv om blokkjede er en av de sikreste finansielle teknologiene som noen gang er laget, er ondsinnede hacks mot kryptobaserte plattformer den største trusselen mot Web3-satsingen.
Gitt blockchains irreversible natur og OpenSeas mangel på forebyggende sikkerhetstiltak, er det ikke vanskelig å se den beste løsningen OpenSea kom opp med etter Ethereum domene auksjon hack er å tilby hackeren 25 % fortjeneste fra salget i bytte mot tilbakelevering av de stjålne NFT-ene. Bare i NFT-markedets verden kan en kriminell bli belønnet i stedet for å bli straffet for en så alvorlig forbrytelse.
Som monopol på NFT-markedet kan OpenSea absolutt gjøre det bedre enn dette og ta sikkerhetstiltak mer seriøst og gi mer beskyttelse til sine brukere.
Synspunktene og meningene som er uttrykt her er utelukkende synspunkter fra forfatteren og gjenspeiler ikke nødvendigvis synspunktene fra Cointelegraph.com. Hver investering og handelsbeveg innebærer risiko, bør du utføre din egen forskning når du tar en beslutning.
Kilde: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections