Oto jak hacki OpenSea NFT ranią właścicieli, kupujących, a nawet całe kolekcje

Rynek niewymiennych tokenów (NFT) kwitnie od lata 2021 r., a wraz z gwałtownym wzrostem cen NFT wzrosła także liczba hacków wymierzonych w NFT.

Ostatni głośny hack pochłonął około 600 Etherów (ETH.) wartości NFT od Arthur0x, założyciela DeFiance Capital, które następnie zostały sprzedane na OpenSea.

W raporcie dotyczącym przestępczości kryptograficznej za 2022 r. opublikowanym przez Chainalytic podkreślono, że wartość wysyłana na rynki NFT przez nielegalne adresy znacznie wzrosła w 2021 r., osiągając wysokość prawie 1.4 mln dolarów. Wyraźnie wzrosła także liczba skradzionych środków wysyłanych na rynki NFT.

*Całkowita nielegalna wartość przepływająca do platform NFT. Źródło: Raport Chainalytic Crypto Crime Report 2022*

Biorąc pod uwagę niepokojący szybki wzrost nielegalnej wartości napływającej do platform NFT, naturalne jest pytanie, czy wprowadzono środki i procedury bezpieczeństwa, a jeśli tak, to czy środki te są skuteczne w ochronie właścicieli.

Przyjrzyjmy się OpenSea, największej platformie NFT, i jej środkom bezpieczeństwa.

Środki bezpieczeństwa w OpenSea nie mogą chronić użytkowników

OpenSea posiada dwa główne środki bezpieczeństwa, które uruchamiają się po „zhakowaniu” konta — blokowanie przejętego konta i blokowanie skradzionych NFT. Te dwa środki są bardzo nieskuteczne, jeśli przyjrzymy się im bliżej.

Zablokowania konta można dokonać na stronie internetowej OpenSea bez zgody człowieka, ponieważ pokazane w tym przypadku, podczas gdy blokowanie NFT wiąże się z długim procesem zgłaszania problemu i czekania na odpowiedź zespołu pomocy OpenSea.

W sytuacji, gdy haker włamał się już do portfela i jest w trakcie przesyłania NFT, zablokowanie konta będzie skuteczne tylko wtedy, gdy zostanie wykonane, zanim haker przekaże wszystko.

Podobnie blokowanie transakcji NFT jest również skuteczne tylko przed sprzedażą transakcji NFT innemu nabywcy przez hakera. Co gorsza, ten środek bezpieczeństwa tworzy szereg pośrednich ofiar, które kończą z zablokowanymi transakcjami NFT, których nie można sprzedać ani przenieść. Dzieje się tak dlatego, że czas reakcji na zgłoszenia złożone w OpenSea wynosi co najmniej jeden dzień. Zanim NFT zostaną zablokowane przez OpenSea, zostaną już sprzedane innemu nabywcy, który teraz staje się nową ofiarą przestępstwa.

W przypadku 17 skradzionych Azuki Arthur0x, 15 zostało skradzionych w ciągu tej samej minuty, a dwa trzy minuty później. Średni czas, przez jaki skradzione NFT pozostawały w portfelu hakera, zanim zostały sprzedane, wynosi 43 minuty. Środki bezpieczeństwa OpenSea nie są w żaden sposób responsywne i wystarczająco szybkie, aby poinformować ofiarę i powstrzymać hakera; nie są też w stanie poinformować kupujących na tyle szybko, aby uniemożliwić im zakup skradzionych NFT i stanie się pośrednimi ofiarami.

*Skradziono Azuki NFT od Aurther0x. Źródło:* *Etherscan.io*

Blokowanie skradzionych NFT tworzy ofiary pośrednie

Ofiara pośrednia to osoba, która nie jest celem włamania, ale pośrednio cierpi z powodu strat finansowych spowodowanych blokowaniem skradzionych NFT. Jak widać z wielu ostatnich hacków NFT, NFT są zawsze sprzedawane przed wdrożeniem bloku przez OpenSea. Konsekwencją zbyt późnego blokowania NFT jest to, że powoduje to ofiary pośrednie i większe straty dla większej liczby osób.

Aby zilustrować bardziej szczegółowo, w jaki sposób każdy może kupić skradziony NFT i stać się pośrednią ofiarą włamania, oto trzy typowe przypadki:

Sprawa 1: Alice kupiła NFT, ale dopiero później dowiedziała się, że jest to skradziony zasób. NFT jest zablokowane i Alicja nie może go sprzedać ani przenieść na OpenSea. Następnie przechodzi do zgłoszenia zgłoszenia do pomocy technicznej. Po kilku tygodniach zespół OpenSea Trust & Safety oferuje zwrot 2.5% opłat za platformę; i ewentualnie adres e-mail ofiary, która zgłosiła kradzież, jeśli miała szczęście. Następnie prawdopodobnie przeprowadzi długą dyskusję z ofiarą, aby wynegocjować możliwość zniesienia blokady, co najprawdopodobniej zakończy się donikąd.

Alice może nadal sprzedawać NFT na innych rynkach, ale wielkość sprzedaży tej konkretnej kolekcji jest bardzo niska i nie ma nabywcy, który mógłby zaoferować uczciwą cenę na platformach innych niż OpenSea.

*Odpowiedź OpenSea na pośrednią ofiarę, która kupiła skradziony NFT*

Sprawa 2: Alicja złożyła wiele ofert podczas licytacji NFT z kolekcji. Jedna z ofert została zaakceptowana przez hakera, który następnie otrzymał płatność z oferty w portfelu ofiary i przystąpił do jego wyczyszczenia. NFT został później zablokowany jako część aktywów skradzionych w wyniku nieautoryzowanych transakcji ofiary.

Takie przypadki często się zdarzają, ponieważ notowanych na giełdzie NFT nie można przenieść, chyba że aukcja zostanie anulowana. Haker, który znajduje się pod presją czasu, z większym prawdopodobieństwem przyjmie ofertę kupna, uzyska wpływy ze sprzedaży i przeleje pieniądze. Poniższy przypadek pokazuje, jak cała kolekcja NFT pośredniej ofiary została zablokowana przez OpenSea bez wyjaśnienia.

Oto mój wątek o tym, jak @otwarte morze bezzasadnie zablokowałem moje konto i zamroziłem wszystkie moje NFT po mojej ofercie 40 za @Boredapeyc. #6267 został zaakceptowany.
Myślę, że bardzo ważne jest rozpowszechnienie tej sprawy wśród społeczności NFT!
Zaczynamy ⬇️ pic.twitter.com/xnxctpzzpL
— Mpa3yka (@Mpa3yka) Listopad 10, 2021

Sprawa 3: Alice jest właścicielką NFT od dłuższego czasu i nagle zostaje zablokowana i oznaczona jako „zgłoszona z powodu podejrzanej aktywności”. Konto sprzedającego nie zostało naruszone, a transakcja miała miejsce jakiś czas temu. Ponieważ nie ma żadnych dowodów wymaganych do zgłoszenia kradzieży NFT i zablokowania jej, każdy może wysłać e-mail do zespołu ds. zwalczania nadużyć finansowych OpenSea w celu zablokowania dowolnego NFT.

Chociaż można później zażądać raportu policyjnego, OpenSea nie zawiera jasnego oświadczenia określającego dowody potrzebne do udowodnienia włamania ani warunku, pod którym można zidentyfikować i usunąć fałszywie zgłoszony skradziony NFT. Fałszywe zgłoszenie skradzionych NFT nie wiąże się z żadnymi konsekwencjami.

NFT są często blokowane bez wyjaśnień i dowodów, takich jak raporty policyjne przekazywane ofierze pośredniej. Teoretycznie tymi transakcjami NFT można nadal handlować na innych platformach, ale biorąc pod uwagę monopol OpenSea na rynku, wynoszący 95% całkowitego wolumenu transakcji NFT, zablokowanie wszelkich transakcji NFT na OpenSea jest prawie równoznaczne z usunięciem ich z rynku na zawsze.

Blokowanie NFT może sztucznie podnieść cenę

Niebezpieczeństwem zablokowania handlu skradzionymi NFT na największej platformie NFT OpenSea jest trwałe ograniczenie podaży. Na podstawie prawo podaży i popytu w teorii ekonomii, kiedy podaż spada, cena rośnie.

Na przykład kolekcja Azuki liczy 10,000 1,100 NFT, a obecnie tylko 0 jest w sprzedaży na OpenSea. W wyniku hackowania Arthur17x 17 zostało skradzionych i zablokowanych. Chociaż 1.5 NFT stanowi zaledwie około 1,100% z 22 sztuk znajdujących się w obiegu, cena już wykazała tendencję wzrostową po włamaniu. Włamanie miało miejsce XNUMX marca i cena spiczasty 28 marca do 20.96 E przed ogłoszeniem zrzutu 31 marca — wzrost o 55% w ciągu tygodnia.

*Sprzedaż Azuki i średnia cena po hacku. źródło: OpenSea*

Chociaż nie wszystkie z 17 skradzionych NFT są zablokowane, ponieważ Arthurowi udało się odzyskać część w drodze negocjacji z pośrednimi ofiarami w sprawie ich odkupienia, przyszłe włamania w podobnej formie będą miały miejsce w sposób ciągły, a skumulowana liczba zablokowanych NFT może jedynie wzrosnąć w miarę kontynuowania włamań i nie istnieją żadne procedury umożliwiające ich odblokowanie.

Używając ponownie Azuki jako przykładu, poniższy wykres przedstawia historyczną liczbę sprzedaży i średnią cenę, aby utworzyć krzywą popytu i zakłada, że krzywa podaży jest liniowa. Punkt przecięcia krzywych podaży i popytu to cena równowagi.

Ponieważ podaż stale maleje, prędkość wzrostu ceny staje się szybsza w miarę zwiększania się nachylenia krzywej popytu. Równy spadek podaży 300 NFT z 1,000 do 700 w porównaniu z 700 do 400 powoduje większy wzrost ceny tego ostatniego.

Jak pokazano na poniższym wykresie, cena wzrasta z 15 ETH do 21 ETH z obniżki z 1,000 do 700, ale wzrasta bardziej z 21 ETH do 28 ETH z obniżki z 700 do 400.

*Krzywa podaży i popytu Azuki na podstawie sprzedaży i cen z OpenSea*

Wyraźnie widać, że blokowanie skradzionych NFT może sztucznie podnieść cenę kolekcji. Jeśli ktoś chciałby wykorzystać lukę w systemie bezpieczeństwa OpenSea i fałszywie zgłosić wiele NFT z tej samej kolekcji co skradzionych (ponieważ do zgłoszenia skradzionych NFT nie są wymagane żadne dowody), cena kolekcji może drastycznie wzrosnąć, jeśli podaż jest niska . Ta luka może stworzyć możliwości manipulacji cenami na niepłynnym rynku NFT.

W każdym razie blokowanie transakcji NFT nie jest skutecznym sposobem na powstrzymanie włamania lub ukaranie hakera, wręcz przeciwnie, tworzy więcej pośrednich ofiar i luk prawnych dla manipulatorów rynkowych. Z pewnością nie tędy droga, więc czy istnieje skuteczny środek bezpieczeństwa?

Należy wdrożyć środki zapobiegawcze i system oparty na dowodach

Obecny system bezpieczeństwa OpenSea nie posiada żadnych środków zapobiegawczych, które chroniłyby użytkowników z wyprzedzeniem. Wszystkie środki bezpieczeństwa są wdrażane dopiero po włamaniu, co jest jednym z głównych powodów ich nieskuteczności.

Sądząc po zachowaniach hakerów, czas jest istotnym elementem. Kluczem do wygrania bitwy są środki bezpieczeństwa, które mogą spowolnić hakera lub wcześnie poinformować ofiary. Oto kilka skuteczniejszych środków zapobiegawczych, które OpenSea może wdrożyć:

Utwórz system wczesnego ostrzegania, który będzie w stanie wykryć nietypową aktywność na koncie i wysyłać błyskawiczne wiadomości tekstowe lub powiadomienia e-mail, aby informować użytkowników o takiej aktywności, aby mieli wystarczająco dużo czasu na reakcję. Na przykład, jeśli na koncie nigdy nie kupiono ani nie przekazano więcej niż jednego NFT w ciągu jednej minuty; lub jeśli na koncie nigdy w przeszłości nie występowała żadna aktywność w określonym przedziale czasowym (tj. w strefach czasowych, w których użytkownik śpi), wystąpienie takiej aktywności zostanie wykryte przez algorytmy uczenia maszynowego. Posiadacz konta może zdecydować się na natychmiastowe poinformowanie lub pozwolić na automatyczną blokadę konta ze względów bezpieczeństwa.

Zapewnij użytkownikom możliwość ograniczenia maksymalnej liczby transferów lub sprzedaży NFT dozwolonych w danym przedziale czasowym, tj. maksymalnie jednego przelewu lub sprzedaży w ciągu jednej minuty; lub minimalny odstęp czasu narzucony pomiędzy każdym przelewem lub sprzedażą, tzn. następny przelew lub sprzedaż może nastąpić dopiero 15 minut po poprzednim. Te środki mogą uniemożliwić hakerom kradzież dużej liczby NFT za jednym razem.

Twórz podejrzane pulpity nawigacyjne kont, które umożliwiają ofiarom natychmiastowe dodawanie kont przejętych i kont hakerów do publicznej kontroli. Zapewni to wszystkim kupującym informacje w czasie rzeczywistym o podejrzanych kontach i możliwość sprawdzenia, czy sprzedawca znajduje się na liście przed dokonaniem zakupu. Później można zażądać od ofiary dowodów, takich jak raport policyjny, w celu udowodnienia, że zgłoszone konta rzeczywiście zostały naruszone.

Niektóre z tych środków mogą powodować fałszywe alarmy i niedogodności. Biorąc jednak pod uwagę, że jest to wyścig czasu z hakerem, jeśli chodzi o środki zapobiegawcze, użytkownicy wolą być bezpieczni, niż żałować, że nie staną się kolejną ofiarą.

Powszechne błędne przekonania na temat hakowania kryptowalut

Powszechnym błędnym przekonaniem na temat hakowania kryptowalut jest to, że „mi się to nie przydarzy, ponieważ mam wysoką świadomość bezpieczeństwa i używam twardego portfela”. Może być prawdą, że można uniknąć bezpośredniego złośliwego włamania dzięki dobrym praktykom w zakresie bezpieczeństwa, ale każdy może stać się pośrednią ofiarą włamania wymierzonego w inną osobę. Gdy liczba włamań wzrasta, ryzyko, że staniesz się ofiarą pośrednią, jest również znacznie wyższe.

Innym błędnym przekonaniem jest to, że „dopóki nie trzymam zbyt dużo pieniędzy w moim gorącym portfelu, nie ma znaczenia, czy portfel zostanie naruszony”. Większość użytkowników nie zdaje sobie sprawy, że strata pieniężna to tylko jedna z konsekwencji włamania. Utrata portfela Web3 jest jak utrata całej historii kredytowej. Wszelkie przyszłe korzyści wynikające z przeszłych działań, takich jak zrzuty lub dostęp do pożyczek i dźwigni finansowej, mogą również wyparować wraz z zaatakowanym portfelem.

Chociaż blockchain jest jedną z najbezpieczniejszych technologii finansowych, jakie kiedykolwiek stworzono, złośliwe ataki hackerskie na platformy oparte na kryptowalutach stanowią największe zagrożenie dla przedsięwzięcia Web3.

Biorąc pod uwagę nieodwracalny charakter blockchain i brak zapobiegawczych środków bezpieczeństwa w OpenSea, nietrudno dostrzec najlepsze rozwiązanie, jakie OpenSea wymyśliło po Hack na aukcję domeny Etherum jest zaoferowanie hakerowi 25% zysku ze sprzedaży w zamian za zwrot skradzionych NFT. Tylko w świecie rynku NFT przestępca za tak poważne przestępstwo może zostać nagrodzony, a nie ukarany.

Jako monopolista na rynku NFT, OpenSea z pewnością może osiągnąć więcej i poważniej podejść do środków bezpieczeństwa i zapewnić lepszą ochronę swoim użytkownikom.

Poglądy i opinie wyrażone tutaj są wyłącznie poglądami autora i niekoniecznie odzwierciedlają poglądy Cointelegraph.com. Każdy ruch inwestycyjny i transakcyjny wiąże się z ryzykiem, powinieneś przeprowadzić własne badania podczas podejmowania decyzji.