Tržište nezamjenjivih tokena (NFT) je u procvatu od ljeta 2021., a kako su cijene NFT-a naglo porasle, tako je rastao i broj hakova usmjerenih na NFT.
Najnoviji visoko-profilni hak izvukao je otprilike 600 etera (ETH) u vrijednosti NFT-a od Arthur0x-a, osnivača DeFiance Capitala, koji su potom prodani na OpenSea-u.
Izvještaj o kripto kriminalu za 2022. koji je objavio Chainalysis naglašava da je vrijednost poslana na NFT tržišta putem nedozvoljenih adresa značajno skočila u 2021., dostigavši nešto manje od 1.4 miliona dolara. Takođe je došlo do jasnog povećanja ukradenih sredstava poslanih na NFT tržišta.
S obzirom na zabrinjavajući nagli porast nedozvoljene vrednosti koja se uliva u NFT platforme, prirodno je zapitati se da li postoje bezbednosne mere i procedure i ako postoje, da li su ove mere efikasne u zaštiti vlasnika.
Pogledajmo OpenSea, najveću NFT platformu, i njene sigurnosne mjere.
Sigurnosne mjere u OpenSea ne mogu zaštititi korisnike
OpenSea ima dvije glavne sigurnosne mjere koje se primjenjuju nakon što je račun „hakovan“ — zaključavanje kompromitovanog naloga i blokiranje ukradenih NFT-ova. Ove dvije mjere su vrlo neefikasne kada se pogledaju izbliza.
Zaključavanje računa može se izvršiti na web stranici OpenSea bez ljudskog odobrenja kao pokazano ovdje, dok blokiranje NFT-ova uključuje dugotrajan proces podizanja tiketa i čekanja da odgovori OpenSea tima za pomoć.
U situaciji u kojoj je haker već kompromitovao novčanik i u procesu je prenosa NFT-ova, zaključavanje računa će biti efikasno samo ako se izvrši prije nego što haker sve prenese.
Slično tome, blokiranje NFT-ova je efektivno samo prije nego što haker proda NFT-ove drugom kupcu. Što je još gore, ova sigurnosna mjera stvara niz indirektnih žrtava koje završavaju sa blokiranim NFT-ovima koji se ne mogu prodati ili prenijeti. To je zato što je vrijeme odgovora za ulaznice prikupljene u OpenSea najmanje jedan dan. Do trenutka kada OpenSea blokira NFT-ove, oni bi već bili prodati drugom kupcu koji sada postaje nova žrtva zločina.
U slučaju 17 ukradenih Azukija od Arthur0xa, 15 je ukradeno u istom minutu, a dva su ukradena tri minuta kasnije. Prosječno vrijeme koje su ovi ukradeni NFT-ovi ostali u novčaniku hakera prije nego što su prodati je 43 minute. Sigurnosne mjere OpenSea ni na koji način ne reagiraju i dovoljno brze da informiraju žrtvu i zaustave hakera; niti mogu dovoljno brzo informisati kupce da ih spreče da kupe ukradene NFT-ove i postanu indirektne žrtve.
Blokiranje ukradenih NFT-ova stvara indirektne žrtve
Indirektna žrtva je neko ko nije meta hakovanja, ali indirektno pati od finansijskih gubitaka uzrokovanih blokiranjem ukradenih NFT-ova. Kao što se vidi iz mnogih nedavnih NFT hakova, NFT se uvijek prodaju prije nego što OpenSea implementira blok. Posljedica prekasnog blokiranja NFT-a je da to stvara indirektne žrtve i više gubitaka za više ljudi.
Da bismo detaljnije ilustrirali kako bi neko mogao na kraju kupiti ukradeni NFT i postati indirektna žrtva hakovanja, evo tri uobičajena slučaja:
Case 1: Alice je kupila NFT, ali je tek kasnije saznala da je to ukradeno sredstvo. NFT je blokiran i Alice ga ne može prodati ili prenijeti na OpenSea. Zatim nastavlja prikupljati kartu za podršku. Nakon nekoliko sedmica, OpenSea Trust & Safety tim nudi povrat 2.5% naknada za platformu; i eventualno imejl adresu žrtve koja je prijavila krađu ako bude imala sreće. Zatim će vjerovatno imati dugu diskusiju sa žrtvom kako bi pregovarala o mogućnosti podizanja blokade, što najvjerovatnije neće završiti nigdje.
Alice još uvijek može prodavati NFT na drugim tržištima, ali obim prodaje je vrlo nizak za ovu konkretnu kolekciju i ne postoji kupac koji može ponuditi fer cijenu na drugim platformama osim OpenSea.
Case 2: Alice je dala više ponuda dok je licitirala za NFT-ove iz kolekcije. Haker je prihvatio jednu od ponuda, koji je zatim primio uplatu iz ponude u novčanik žrtve i nastavio da čisti novčanik. NFT je kasnije blokiran kao deo ukradene imovine iz neovlašćenih transakcija od strane žrtve.
Ovakvi slučajevi se često dešavaju jer se navedeni NFT-ovi ne mogu prenijeti osim ako se listanje ne otkaže. Haker, koji je pod vremenskim pritiskom, vjerovatnije će prihvatiti ponudu i dobiti prihod od prodaje i prebaciti novac. Slučaj u nastavku pokazuje kako je cjelokupna NFT zbirka indirektne žrtve blokirana od strane OpenSea bez objašnjenja.
Evo moje teme o tome kako @opensea neopravdano blokirao moj nalog i zamrznuo sve moje NFT-ove nakon moje ponude 40 weth for @BoredApeYC #6267 je prihvaćen.
Mislim da je veoma važno proširiti ovaj slučaj među NFT zajednicom!
Počnimo ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Novembar 10, 2021
Case 3: Alice već neko vrijeme posjeduje NFT i odjednom je blokiran i označen kao „prijavljen zbog sumnjive aktivnosti“. Račun prodavca nije kompromitovan i transakcija se desila pre nekog vremena. Budući da nisu potrebni dokazi za prijavu ukradenog NFT-a i njegovo blokiranje, svako može poslati e-mail OpenSea timu za borbu protiv prijevara da blokira bilo koji NFT.
Iako se policijski izvještaj može zatražiti kasnije, ne postoji jasna izjava OpenSea-a koja bi precizirala dokaze potrebne za dokazivanje hakovanja, niti uslov pod kojim se lažno prijavljeni ukradeni NFT može identificirati i podići iz bloka. Nema posljedica za lažno prijavljivanje ukradenih NFT-ova.
NFT-ovi su često blokirani bez objašnjenja ili dokaza, kao što su policijski izvještaji dostavljeni indirektnoj žrtvi. Teoretski, ovim NFT-ovima se i dalje može trgovati na drugim platformama, ali s obzirom na monopol OpenSea-a na tržištu, sa 95% ukupnog NFT-ovog obima trgovanja, blokiranje bilo kojeg NFT-a na OpenSea-u je gotovo jednako njihovom zauvijek ukidanju sa tržišta.
Blokiranje NFT-a moglo bi vještački povećati cijenu
Opasnost blokiranja ukradenih NFT-ova u trgovini na najvećoj NFT platformi OpenSea je trajno smanjenje ponude. Na osnovu zakon ponude i potražnje u ekonomskoj teoriji, kada ponuda opada, cijena raste.
Na primjer, Azuki kolekcija ima 10,000 NFT-ova, a trenutno je samo 1,100 u prodaji na OpenSea-u. Arthur0x hakiranje rezultiralo je krađem i blokiranjem 17. Iako je 17 NFT-ova samo oko 1.5% od 1,100 opticajnih zaliha, cijena je već pokazala trend rasta nakon hakovanja. Hak se dogodio 22. marta i cijena vrhunac 28. marta do 20.96 E prije najave airdrop-a 31. marta — povećanje od 55% unutar jedne sedmice.
Iako nije svih 17 ukradenih NFT-ova blokirano jer je Arthur uspio neke povratiti kroz pregovore s indirektnim žrtvama da ih otkupi, budući hakovi u sličnom obliku će se dešavati kontinuirano i kumulativni broj blokiranih NFT-ova može se samo povećavati kako se hakovanje nastavi i ne postoje procedure za njihovo deblokiranje.
Ponovo koristeći Azuki kao primjer, donji grafikon prikuplja historijski broj prodaje i prosječne cijene kako bi se stvorila krivulja potražnje i pretpostavlja se da je kriva ponude linearna. Tačka u kojoj se krive ponude i potražnje seku je ravnotežna cijena.
Kako se ponuda kontinuirano smanjuje, brzina povećanja cijene postaje brža kako nagib krive potražnje postaje strmiji. Jednako smanjenje ponude za 300 NFT-a sa 1,000 na 700 u odnosu na 700 na 400 rezultira većim povećanjem cijene za potonje.
Kao što je prikazano na grafikonu ispod, cijena raste sa 15 ETH na 21 ETH sa smanjenja od 1,000 na 700, ali raste više sa 21 ETH na 28 ETH sa smanjenja od 700 na 400.
Jasno je vidjeti da bi blokiranje ukradenih NFT-ova moglo umjetno povećati cijenu kolekcije. Ako je neko želio da iskoristi rupu u sigurnosnom sistemu OpenSea tako što će lažno prijaviti mnoge NFT-ove iz iste kolekcije kao ukradene (pošto nisu potrebni dokazi za prijavu ukradenih NFT-ova), cijena kolekcije bi mogla dramatično porasti ako je ponuda niska . Ova rupa u zakonu mogla bi stvoriti prilike za manipulaciju cijenama na nelikvidnom NFT tržištu.
U svakom slučaju, blokiranje NFT-a nije efikasna mjera za zaustavljanje hakovanja ili kažnjavanje hakera, već naprotiv, stvara više indirektnih žrtava i rupa u rupi za tržišne manipulatore. Ovo svakako nije pravi put, pa postoji li efikasna mjera sigurnosti?
Potrebno je uspostaviti preventivne mjere i sistem zasnovan na dokazima
Trenutni OpenSea sigurnosni sistem nema preventivne mjere za zaštitu korisnika unaprijed. Sve sigurnosne mjere se sprovode tek nakon hakovanja, što je jedan od glavnih razloga zašto su neefikasne.
Na osnovu ponašanja hakera, vrijeme je bitna komponenta. Sigurnosne mjere koje mogu usporiti hakera ili rano obavijestiti žrtve su ključ za pobjedu u bitci. Evo nekoliko efikasnijih preventivnih mjera koje OpenSea može implementirati:
- Kreirajte sistem ranog upozorenja koji može otkriti nenormalnu aktivnost naloga i poslati trenutne tekstualne poruke ili upozorenja putem e-pošte kako bi obavijestio korisnike o takvoj aktivnosti kako bi imali dovoljno vremena da odgovore. Na primjer, ako račun nikada nije kupio ili prenio više od jednog NFT-a u roku od jedne minute; ili ako nalog nikada nije imao nikakve aktivnosti u prošlosti tokom određenog vremenskog perioda (tj. vremenske zone kada korisnik spava), pojava takvih aktivnosti će biti otkrivena algoritmima mašinskog učenja. Vlasnik računa može izabrati da bude odmah obaviješten ili da dozvoli da se račun automatski zaključa radi sigurnosti.
- Omogućiti korisnicima da ograniče maksimalan broj NFT transfera ili prodaja dozvoljenih u vremenskom okviru, tj. maksimalno jedan transfer ili prodaju unutar jednog minuta; ili minimalni vremenski interval između svakog transfera ili prodaje, tj. sljedeći prijenos ili prodaja može se dogoditi samo 15 minuta nakon prethodne. Ove mjere mogu spriječiti hakere da ukradu veliki broj NFT-ova u jednom potezu.
- Napravite kontrolne table sumnjivih naloga koje omogućavaju žrtvama da trenutno dodaju kompromitovane naloge i hakerske naloge za javnu kontrolu. Ovo će svim kupcima dati informacije u realnom vremenu o sumnjivim računima i mogućnost unakrsne provjere da li je prodavac na listi prije nego što kupe. Dokaz kao što je policijski izvještaj može se kasnije zatražiti od žrtve kako bi se dokazalo da su prijavljeni računi zaista kompromitovani.
Neke od ovih mjera mogu stvoriti lažne uzbune i neugodnosti. Ali s obzirom na to da je u pitanju trka vremena protiv hakera kada su u pitanju preventivne mjere, korisnici bi radije bili sigurni nego žalili da izbjegnu da postanu sljedeća žrtva.
Uobičajene zablude o kripto hakiranju
Uobičajena zabluda o kripto hakiranju je da mi se to neće dogoditi jer je moja svijest o sigurnosti visoka i koristim čvrsti novčanik. Možda je istina da se direktni zlonamjerni hak može izbjeći dobrom sigurnosnom praksom, ali svako može postati indirektna žrtva hakovanja ciljanog na nekog drugog. Kada se broj hakova poveća, šansa da postanete indirektna žrtva je također mnogo veća.
Još jedna zabluda je, "sve dok ne držim previše novca u svom vrućem novčaniku, nije važno da li je novčanik ugrožen." Ono što većina korisnika ne shvaća je da je novčani gubitak samo jedna od posljedica haka. Gubitak Web3 novčanika je kao gubitak cijele kreditne istorije. Sve buduće beneficije zasnovane na prošlim aktivnostima kao što su airdrops ili pristup kreditima i poluge također mogu nestati s ugroženim novčanikom.
Iako je blockchain jedna od najsigurnijih financijskih tehnologija ikad stvorenih, zlonamjerni hakovi prema kripto-baziranim platformama najveća su prijetnja Web3 poduhvatu.
S obzirom na nepovratnu prirodu blockchaina i nedostatak preventivnih sigurnosnih mjera OpenSea, nije teško vidjeti najbolje rješenje do kojeg je OpenSea došao nakon Hak za aukciju domene Ethereum je ponuditi hakeru 25% profita od prodaje u zamjenu za vraćanje ukradenih NFT-ova. Samo u svetu NFT tržišta kriminalac može biti nagrađen, a ne kažnjen za tako težak zločin.
Kao monopol na NFT tržištu, OpenSea svakako može bolje od ovoga i ozbiljnije preduzeti sigurnosne mjere i pružiti veću zaštitu svojim korisnicima.
Ovdje izraženi stavovi isključivo su stavovi autora i ne odražavaju nužno stavove Cointelegraph.com. Svaki potez ulaganja i trgovanja uključuje rizik, trebali biste provesti vlastito istraživanje prilikom donošenja odluke.
Izvor: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections