W lutym 2022 OpenSea padł ofiarą poważnego ataku phishingowego co zaowocowało ponad 1.7 miliona dolarów tokeny niezgłębione (NFT) kradzieży od użytkowników. To nie był jedyny incydent: podobno użytkownicy Blockchain stracił 3.9 miliarda dolarów z powodu nieuczciwej działalności tylko w 2022 roku.
Gdy wkroczyliśmy w 2023 r., pojawiło się chór obietnic zwiększenia bezpieczeństwa w przestrzeni kryptograficznej. Ale jak dotąd sytuacja nie uległa znaczącym zmianom. Firmy wykorzystujące blockchain wciąż nie robią wystarczająco dużo, aby zapobiegać oszustwom.
Jeśli technologia blockchain ma zostać przyjęta na masową skalę, firmy będą musiały zmienić swoje podejście od dołu do góry. Koncentrując się na edukacji i wdrażając lepsze procesy identyfikowania złośliwych działań, platformy te mogą lepiej służyć swoim klientom w miarę rozwoju przestrzeni.
Platformy Blockchain muszą nauczyć się identyfikować złośliwą aktywność
W przypadku włamania OpenSea ofiary zostały poproszone o podpisanie niekompletnej umowy, najwyraźniej na żądanie platformy. Chociaż podstawowa infrastruktura OpenSea nie została zhakowana, fałszywe konta były w stanie wykorzystać otwarty protokół Wyvern. Hakerzy byli wtedy w stanie użyć podpis właściciela zostać przeniesieni na fałszywą umowę, która dała im własność bez konieczności płacenia za NFT.
Związane z: 10 prognoz dla kryptowalut w 2023 roku
OpenSea niedawno wycofała niektóre ze swoich poprzednich zasad po tym, jak to było zgłaszane że 80% NFT wybijanych za darmo na platformie to plagiaty lub spam. OpenSea polega również na zaufaniu do programistów korzystających z jego API, co nie jest niezawodnym sposobem oceny ryzyka. Ci programiści mogą wykorzystywać interfejs API do złośliwych celów, aby wykorzystać użytkowników podpisujących umowy, których nie czytają.
Inteligentne kontrakty są integralną częścią silnika blockchain i można je znaleźć wszędzie, od giełd NFT po prawdziwie zdecentralizowane aplikacje. Zrozumienie, jak działają te umowy, jest niezbędne do zapewnienia bezpieczeństwa użytkownikom. Zamiast wymyślać koło na nowo, firmy mogą wdrażać standardowe protokoły, aby zapewnić odporność inteligentnych kontraktów i ochronę przed złośliwymi działaniami. Stamtąd firmy mogą skorzystać z elastycznego charakteru łańcucha bloków i dostosować swoją umowę, na przykład konfigurując portfele z wieloma podpisami i regularne testy jednostkowe.
Uważaj na spamerskie zrzuty
Jeśli szukasz popularnej kolekcji Mutant Hounds znajdującej się w najlepszych kolekcjach OpenSea, nic nie wskazuje na to, która kolekcja jest legalna. Brak weryfikacji może prowadzić do tworzenia fałszywych kolekcji, sztucznie zawyżając cenę, aby wyglądała na uzasadnioną i mylącą dla użytkowników. Fałszywe kolekcje są często dystrybuowane za pośrednictwem zrzutów, które mają być znalezione za pomocą funkcji wyszukiwania platformy NFT.
Związane z: Co Paul Krugman myli się na temat kryptowalut
Spamskie kolekcje mogą również wysyłać użytkownikom NFT, o które nie prosili, za pośrednictwem zrzutów. Użytkownicy będą przekierowywani nie przez platformę, na której przechowują kolekcję, taką jak OpenSea, ale przez inną stronę, na której występuje oszustwo.
Jest to powszechne ryzyko, któremu można zaradzić dzięki platformom monitorującym taką aktywność, albo za pośrednictwem bazy danych crowdsourcingu, która śledzi fałszywe konta, albo narzędzia administracyjnego, które wie, czego szukać i jest stale świadome aktualnych oszustw. Ponadto platformy NFT mogą wymagać, aby oferty były w tej samej walucie co oferta, aby uniknąć nieporozumień. Wielu użytkowników zostało oszukanych, przyjmując ofertę w mniej wartościowej walucie niż ta, w której wystawili NFT na sprzedaż. Platformy Blockchain mogą polegać na danych, aby ujawnić wartości odstające, oznaczając podejrzaną aktywność opartą na nieregularnej aktywności wśród niewielkiej liczby posiadaczy.
Oczywiście należy zauważyć, że firmy takie jak OpenSea znajdują się w trudnej sytuacji, ponieważ muszą nadzorować fałszywe konta, które pojawiają się na ich platformie. W wielu przypadkach sprowadza się to do konieczności dokładniejszej weryfikacji oficjalnej kolekcji.
Onboarding jest integralną częścią biznesplanu
Onboarding powinien być podstawową częścią doświadczenia blockchain dla weteranów i początkujących użytkowników. Podobnie jak inteligentne kontrakty, ustanowienie jasnych wytycznych dla użytkowników i zwrócenie uwagi na potencjalne zagrożenia należy uznać za jedną z podstawowych najlepszych praktyk zapewniających bezpieczeństwo użytkowników. Przewodniki te należy regularnie przeglądać, biorąc pod uwagę ocenę ryzyka, i odpowiednio dostosowywać w miarę dojrzewania łańcucha bloków.
Wśród doświadczonych użytkowników inicjalizacja „DYOR” jest powszechna wśród użytkowników blockchain. Jako skrót od „do your own research” wyrażenie to stało się niewypowiedzianą zasadą dla osób wchodzących w interakcje z potencjalnymi możliwościami inwestycyjnymi. Jednak dla nowicjuszy może być wyzwaniem dokładne określenie, od czego zacząć. Istnieje chór sprzecznych informacji od wpływowych osób w przestrzeni, które często przesuwają kolejną wielką rzecz i prowadzą ryzykowne inwestycje, w wyniku czego użytkownicy padają ofiarą oszustw lub utraty aktywów. Wytyczne i materiały edukacyjne powinny być łatwo dostępne, dostosowane do systemu wartości każdej platformy i unikalnych zagrożeń.
Najlepsze praktyki powinny być priorytetem dla wszystkich platform blockchain
Ponieważ społeczność blockchain przeżywa obecnie swoje rosnące problemy, firmy powinny wyciągnąć trudne wnioski z głównych exploitów, takich jak te na OpenSea, i udoskonalić swoje protokoły bezpieczeństwa, aby upewnić się, że to się nie powtórzy. Punktem wyjścia powinno być zapoznanie się z tajnikami podstawowej technologii, od inteligentnych kontraktów po sposoby ochrony swojej frazy źródłowej. Stamtąd dowiedz się, jak wdrażać i utrzymywać najlepsze praktyki, takie jak identyfikowanie złośliwych działań i tych, które sieją spustoszenie. Być może wystarczyłoby, aby zapobiec niektórym z ostatnich włamań na dużą skalę, gdyby ktoś zauważył, że coś jest nie tak.
Michaela R. Pierce'a jest współzałożycielem i CEO NotCommon. Uzyskał tytuł BBA i MBA na University of Texas w Austin.
Ten artykuł służy do ogólnych celów informacyjnych i nie ma na celu i nie powinien być traktowany jako porada prawna lub inwestycyjna. Poglądy, myśli i opinie wyrażone tutaj są wyłącznie autorem i niekoniecznie odzwierciedlają lub reprezentują poglądy i opinie Cointelegraph.
Źródło: https://cointelegraph.com/news/opensea-must-become-more-ambitious-about-fighting-hackers