NFT: nowe cele oszustw

Automatyzacja oszustw wymaga lepszych zabezpieczeń, począwszy od tożsamości cyfrowej.

Któregoś dnia kupiłem niewymienny token (NFT). Kupiłem ją na OpenSea, jednym z głównych rynków NFT. Jeśli interesujesz się sztuką, jest to kreskówka utalentowanej artystki Helen Holmes. Jeśli interesują Cię spekulacje, to jest ten, który kupiłem. Pochodzi z jej kolekcji „oryginałów” i jest teraz dumnie prezentowany w moim portfelu crypto.com, aby wszyscy mogli go zobaczyć.

Zleciłam Helen narysowanie karykatur, którymi ilustruję swoje artykuły tutaj, dzięki czemu mam pewność, że ona istnieje, że karykatury są oryginałami przez nią stworzonymi i że mam prawo do ich wykorzystania na podstawie naszej własnej umowy. I z radością mogę powiedzieć, że jeśli ktoś kupi jeden z jej NFT, pieniądze trafią do niej, na to zasłużonej artystki. Jak się okazuje, sprawia to, że „moje” NFT jest jednym z niewielu uzasadnionych przykładów niektórych, ponieważ w zeszłym miesiącu OpenSea stwierdziło, że ponad 80% NFT utworzonych bezpłatnie na platformie to „plagiaty, fałszywe kolekcje i spam".

(Mówię „moje” NFT, chociaż posiadam NFT nie daje mi żadnych praw w podstawowej własności intelektualnej, która nadal należy do Helen, lub unikalny dostęp do samego obrazu, który każdy może pobrać, klikając prawym przyciskiem myszy na powyższym obrazku.)

Nawet NFT, które nie są podróbkami i oszustwami, są często, delikatnie mówiąc, podejrzane. Do tej kategorii zaliczam NFT zdjęcia rentgenowskiego jednego z ocalałych z masakry w Bataclane w Paryżu, który wystawił na sprzedaż chirurg, który ją leczył! I nie ma to nic wspólnego z OpenSea, ale z całym rynkiem.

Właściwie „rynek” to chyba złe słowo, bo wynika z niedawnego badania znalazłem to „10% najlepszych traderów samodzielnie przeprowadza 85% wszystkich transakcji i przynajmniej raz handluje 97% wszystkich aktywów”. Patrząc na liczby, 10 procent „par kupujący-sprzedający” jest tak samo aktywnych jak wszyscy pozostali razem wzięci. Jest to plac zabaw niemal w całości opanowany przez wieloryby.

Kiedy platforma, która sprzedała NFT pierwszego tweeta Jacka Dorseya za trzy miliony dolarów amerykańskich, wstrzymuje większość transakcji, ponieważ twórcy podróbek sprzedawali tokeny treści, które do nich nie należały, to myślę, że wszyscy możemy się zgodzić, że istnieje zasadniczy problem z handel aktywami cyfrowymi.

Innowacja

Wygląda na to, że NFT stanowią platformę dla innowacji w zakresie oszustw, a także innowacji w dziełach kreatywnych. Jednym z najpowszechniejszych rodzajów jest tak zwany „wash trading”, w ramach którego grupy oszustów wymieniają między sobą NFT po coraz wyższej cenie, aż do momentu, gdy ktoś niebędący częścią grupy i myślący, że cena jest realna, (w potocznym angielskim żargonie bankowości inwestycyjnej takie osoby nazywane są „odbiorcami kubków”) wkraczają, by kupić „sztukę”. W tym momencie grupa dzieli dochód między siebie, płucze i powtarza.

(To oszustwo, w którym sprzedający są obiema stronami sprzedaży, jest powszechne. I nie chodzi tylko o to, że niektóre kryptowaluty okradają społeczeństwo poprzez fałszywe zawyżanie wartości NFT. Departament Skarbu USA wyraził już obawę, że działalność ta może zostać wykorzystana do celów pranie pieniędzy.)

OpenSea został niedawno wyprzedzony pod względem wielkości przez LookRare. LookRare nagradza finansowo użytkowników za wolumen transakcji, co, jak można się spodziewać, oznacza, że ​​nieuczciwi grają w systemie. Firma analityczna CryptoSlam oszacowałem to około 87 procent całkowitego wolumenu obrotu od momentu wprowadzenia na rynek to w rzeczywistości transakcje typu wash trading.

(Wash trading NFT, zgodnie ze szczegółowym Badanie łańcuchowe tej kwestii charakteryzuje się interesującą asymetrią: większość traderów była nierentowna, ale ci, którzy odnieśli sukces, osiągnęli tak duże zyski, że cała grupa odniosła ogromne zyski.)

Powiedziawszy, że NFT są platformą innowacji w zakresie oszustw, jestem zmuszony przyznać, że czasami podziwiam pomysłowość niektórych hakerów/wyzyskiwaczy kryptowalut, którzy znaleźli pracę w tym nowym świecie. Weźmy na przykład „lukę” w OpenSea, która została wykorzystana, ponieważ niektórzy właściciele NFT nie byli świadomi, że ich stare oferty sprzedaży są nadal aktywne. Znaleziono te stare wykazy i zakupiono NFT. Doprowadziło to do utraty wielu drogich NFT po najniższych cenach. 

(Problem polegał na tym, że NFT były sprzedawane po starych cenach ofertowych, kiedy NFT były znacznie mniej wartościowe. Aby podać konkretny przykład: jeden atakujący zapłacił łącznie 133,000 XNUMX dolarów za siedem NFT po czym szybko sprzedał je za 934,000 XNUMX dolarów w ETH. Pięć godzin później nieuczciwie zdobyte zyski zostały przesłane za pośrednictwem Tornado Cash, usługi „mieszania”, która służy do zapobiegania śledzeniu funduszy przez blockchain.)

Jako Tom Robinson z firmy Elliptic zajmującej się analizą blockchain wyjaśnione, to genialne (choć muszę przyznać, że niezbyt skomplikowane) oszustwo doprowadziło następnie do jeszcze większej liczby oszustw, ponieważ OpenSea wysłał e-mail do użytkowników, którzy nadal mieli stare wpisy NFT i dlatego byli podatni na to oszustwo. Jednak anulowanie starego wpisu wymagało transakcji ETH, więc przedsiębiorczy, niezależni entuzjaści alternatywnych finansów stojący za pierwotnym oszustwem stworzyli następnie boty, aby wypatrywały tych konkretnych transakcji i namawiały je do zakupu NFT przed anulowaniem aukcji.

(Innymi słowy, próbując być pomocnym i namawiając użytkowników do anulowania wrażliwych wpisów, rynek dokładnie przekazał sprawcom informacje potrzebne do zautomatyzowania ataków).

Skala i zakres

Nie wszystkie oszustwa są szczególnie złożone. Ogromna ilość pieniędzy została utracona w wyniku bardzo podstawowych oszustw, takich jak „wyciąganie dywanika”, w wyniku którego innowacyjni inżynierowie kryptowalut ogłaszają wypuszczenie nowego, wspaniałego cyfrowego zasobu, który w przyszłości dokona niesamowitych rzeczy, zwiększając wartość 100-krotnie w ciągu niecałych dwóch lat. czasu i po drodze wyleczyć raka. Opinia publiczna reaguje z entuzjazmem i zalewa emitentów gotówką, po czym emitenci znikają, usuwając po drodze swoją witrynę internetową, czat w Telegramie i fałszywe profile na LinkedIn. Publiczność wypuściła wirtualne koty z wirtualnych toreb i odkryła, że ​​zostały z niczym.

(MałpaJizz było oszustwem! Kto wiedział!)

Zdarzają się jednak oszustwa, które w większym stopniu wykorzystują charakter nowej infrastruktury. „Miodownik” jest jednym z takich przykładów. W Honeypocie programista inteligentnych kontraktów kontrolujących nowy token wstawia kod backdoora, aby mieć pewność, że tylko jego własny portfel będzie mógł sprzedawać! Wszyscy inni, którzy kupują tokeny, odkrywają, że ich pieniądze utknęły w Honeypocie, podczas gdy oszust, który stworzył inteligentną umowę, może wypłacić pieniądze w dowolnym momencie.

Wzmianka o Honeypotach przenosi nas w nowe obszary. Wiele z najbardziej znanych oszustw dotyczy zdecentralizowanych finansów, czyli DeFi, projektów ponad 10 miliardów dolarów straconych w wyniku kradzieży i oszustw DeFi, jak pokazuje listopadowy raport Elliptic. A to moim zdaniem dopiero początek, bo możliwość automatyzacji oszustw w przestrzeni DeFi to fascynujący i przerażający rozwój.

(Oczywiście automatyczne oszustwa nie ograniczają się do świata web3. PayPal zamknął niedawno 4.5 miliona kont i obniżył prognozę dla nowych klientów po odkryciu, że farmy botów wykorzystują oferowane przez niego zachęty. Zaoferowali 10 dolarów jako zachętę do otwierania nowych kont, po cenie w którym momencie boty zamiast ludzi zaczęły zajmować się polami PayPal. Jak konsekwentnie powtarzam, pewnego dnia certyfikat IS-A-PERSON stanie się najcenniejszym ze wszystkich danych uwierzytelniających.)

Jeśli chodzi o web3, skrzyżowanie inteligentnych kontraktów pełnych błędów programistycznych, kryptowalut i anonimowości to zupełnie nowe pole działania dla oszustów, terrorystów i dowcipnisiów. Połączenie automatyzacji i złożoności jest toksyczne i należy się nim zająć od samego początku. Nie chcę tego jeszcze raz powtarzać, ale przyszłość wiedzie dzięki działającej, dostosowanej do potrzeb infrastruktury tożsamości cyfrowej XXI wieku. Być może DeFi (opierające się na weryfikowalnych referencjach i dowodach wiedzy zerowej) zamiast CeFi (opierające się na stowarzyszonych tożsamościach i wspólnych atrybutach) mogłoby ożywić infrastrukturę tożsamości, która z kolei stanie się jej trwałym dziedzictwem.