NFTs: New Fraud Targets

Automatisering av svindel krever bedre forsvar, som begynner med digital identitet.

Jeg kjøpte en ikke-fungible token (NFT) her om dagen. Jeg kjøpte den på OpenSea, en av de store NFT-markedsplassene. I tilfelle du er interessert i kunst, er det en tegneserie fra den talentfulle kunstneren Helen Holmes. I tilfelle du er interessert i spekulasjoner, er dette den jeg kjøpte. Den er fra hennes "original"-samling og er nå stolt utstilt i crypto.com-lommeboken min for alle å se.

Jeg ga Helen i oppdrag å tegne tegneseriene som jeg bruker for å illustrere artiklene mine her, så jeg vet med sikkerhet at hun er ekte, at tegneseriene er originaler laget av henne og at jeg har rett til å bruke dem på grunn av vår egen avtale. Og, jeg er glad for å si, at hvis noen kjøper en av hennes NFT-er, går pengene til henne, den fortjente artisten. Som det viser seg, gjør dette "min" NFT til et av det lille antallet legitime eksempler av noen, fordi forrige måned sa OpenSea at over 80 % av NFT-ene som er opprettet gratis på plattformen er "plagierte verk, falske samlinger og spam".

(Jeg sier "min" NFT, selv om jeg eier en NFT gir meg ingen rettigheter i den underliggende immaterielle eiendommen, som fortsatt tilhører Helen, eller unik tilgang til selve bildet som alle kan laste ned bare ved å høyreklikke på bildet ovenfor.)

Selv NFT-er som ikke er forfalskninger og svindel er ofte skumle, for å si det mildt. Jeg inkluderer i denne kategorien NFT av et røntgenbilde av en av de overlevende fra Bataclan-massakrene i Paris, som ble tilbudt for salg av kirurgen som behandlet henne! Og dette har ikke noe med OpenSea å gjøre, det har noe med hele markedet å gjøre.

Faktisk er "marked" sannsynligvis feil ord, fordi en fersk studie fant det "de 10 % av handelsmennene alene utfører 85 % av alle transaksjoner og handler minst én gang 97 % av alle eiendeler". Ser vi på tallene, er de 10 prosentene av «kjøper-selger-parene» like aktive som alle andre til sammen. Det er en lekeplass nesten fullstendig fanget av hvaler.

Når plattformen som solgte NFT av Jack Dorseys første tweet noensinne for tre millioner amerikanske dollar stopper de fleste transaksjoner fordi forfalskede skapere solgte tokens av innhold som ikke tilhørte dem, så tror jeg vi alle kan være enige om at det er et grunnleggende problem med handel med digitale eiendeler.

Innovasjon

Det ser ut som om NFT-er gir en plattform for innovasjon innen svindel så vel som innovasjon i kreative verk. En av de vanligste typene er det som er kjent som "wash trading", der grupper av svindlere handler en NFT seg imellom, for en stadig høyere pris, inntil noen som ikke er en del av gruppen og som tror at prisen er ekte. (på engelsk investeringsbankspråk, er slike individer kjent som "krusspillere") går inn for å kjøpe "kunsten". På hvilket tidspunkt delte gruppen inntektene mellom seg, skyll og gjenta.

(Denne svindelen, hvor selgerne er begge sider av salget, er utbredt. Og det handler ikke bare om noen kryptobroer som plyndrer fra publikum ved å feilaktig blåse opp verdien av NFT-er. Det amerikanske finansdepartementet har allerede uttrykt bekymring for at aktiviteten kan brukes til hvitvasking.)

OpenSea ble nylig forbigått i volum av LooksRare. LooksRare belønner brukere økonomisk for deres handelsvolum, noe som forutsigbart betyr at useriøse spiller systemet. Kryptoanalysefirma CryptoSlam anslått det ca. 87 prosent av det totale handelsvolumet siden lansering er faktisk vaskehandel.

(Vaskehandel av NFT-er, ifølge en detaljert Kjedeanalysestudie av problemet, har en interessant asymmetri: De fleste handelsmenn har vært ulønnsomme, men de vellykkede har tjent så mye at gruppen som helhet har tjent enormt.)

Etter å ha sagt at NFT-er er en plattform for innovasjon innen svindel, er jeg tvunget til å innrømme at jeg noen ganger beundrer oppfinnsomheten til noen av kryptohackerne/utnytterne som har fått jobb i denne nye verdenen. Ta for eksempel OpenSea "smutthullet" som ble utnyttet fordi noen NFT-eiere var uvitende om at deres gamle salgsoppføringer fortsatt var aktive. Disse gamle oppføringene ble funnet, og NFT-ene ble kjøpt. Dette førte til tap av flere dyre NFT-er til bunnpriser. 

(Problemet var at NFT-ene ble solgt til gamle tilbudspriser laget da NFT-ene var mye mindre verdifulle. For å gi et konkret eksempel, en angriper betalte totalt $133,000 XNUMX for syv NFT-er før du raskt solgte dem videre for $934,000 XNUMX i ETH. Fem timer senere ble de dårlig oppnådde gevinstene sendt gjennom Tornado Cash, en "blandingstjeneste" som brukes til å forhindre blokkjedesporing av midler.)

Som Tom Robinson fra blokkjedeanalyseselskapet Elliptic forklarte, førte denne geniale (selv om jeg må si, ikke så komplisert) svindelen til enda mer svindel fordi OpenSea sendte en e-post til brukere som fortsatt hadde gamle NFT-oppføringer, og derfor var utsatt for denne svindelen. Men å kansellere den gamle oppføringen krevde en ETH-transaksjon, så de driftige frilansentusiastene for alternative finanser bak den opprinnelige svindelen opprettet deretter roboter for å se etter disse spesifikke transaksjonene og frontkjøre dem for å kjøpe NFT-ene før oppføringen ble kansellert.

(Med andre ord, ved å prøve å være hjelpsom og fortelle brukere om å kansellere de sårbare oppføringene, ga markedsplassen bort nøyaktig informasjonen som gjerningsmennene trenger for å automatisere angrepene deres.)

Skala og omfang

Ikke alle svindel er spesielt komplekse. Utrolig mye penger har gått tapt på svært grunnleggende svindel som "rug pull", der innovative kryptovalutaingeniører kunngjør lanseringen av en fabelaktig ny digital eiendel som vil gjøre fantastiske ting i fremtiden, øke 100 ganger i verdi på nesten ingen tid og kurere kreft på vei. Publikum reagerer med entusiasme og oversvømmer utstedere med kontanter, på hvilket tidspunkt utstederne forsvinner, og sletter nettsiden deres, Telegram-chatten og falske LinkedIn-profiler på veien. Publikum slipper de virtuelle kattene ut av de virtuelle sekkene og oppdager at de ikke sitter igjen med ingenting.

(MonkeyJizz var en svindel! Hvem visste!)

Det er imidlertid svindel som drar mer nytte av den nye infrastrukturens natur. "Honeypot" er et slikt eksempel. I en honningpotte setter programmereren av de smarte kontraktene som kontrollerer et nytt token inn bakdørskode for å sikre at bare deres egen lommebok faktisk kan selge! Alle andre som kjøper tokens finner ut at pengene deres sitter fast i honningpotten, mens svindleren som opprettet den smarte kontrakten kan ta ut penger når som helst.

Omtale av honningpotter tar oss inn på nye områder. Mange av de mest bemerkelsesverdige svindelene som florerer involverer desentralisert finans, eller DeFi, prosjekter med mer enn 10 milliarder dollar tapt på DeFi-tyveri og svindel, som en elliptisk rapport fra november viser. Og dette er bare begynnelsen etter min mening, fordi muligheten til å automatisere svindel i DeFi-området er en fascinerende og skremmende utvikling.

(Automatisk svindel er ikke begrenset til web3-verdenen, selvfølgelig. PayPal stengte nylig 4.5 millioner kontoer og senket prognosen for nye kunder etter å ha oppdaget at botfarmer utnyttet insentivene deres. De hadde tilbudt $10 som et insentiv til å åpne nye kontoer, kl. hvilket punkt roboter begynte å bruke PayPal-feltene i stedet for folk. Som jeg konsekvent har hevdet, en dag vil IS-A-PERSON-legitimasjonen være den mest verdifulle legitimasjonen av alle.)

Når det kommer til web3, er skjæringspunktet mellom smarte kontrakter fulle av programmeringsfeil, kryptovalutaer og anonymitet et helt nytt spillefelt for svindlere, terrorister og skøyere. Kombinasjonen av automatisering og kompleksitet er giftig og må håndteres på forhånd. Jeg hater å si det igjen, men veien videre er gjennom en fungerende, egnet 21. århundres digital identitetsinfrastruktur. Kanskje DeFi (som trekker på verifiserbar legitimasjon og null kunnskapsbevis), i stedet for CeFi (trekker på fødererte identiteter og delte attributter), kan kickstarte en identitetsinfrastruktur som igjen vil bli dens varige arv.