Δείτε πώς οι εισβολές του OpenSea NFT βλάπτουν ιδιοκτήτες, αγοραστές, ακόμη και ολόκληρες συλλογές

Η αγορά μη ανταλλάξιμων κουπονιών (NFT) ανθίζει από το καλοκαίρι του 2021 και καθώς οι τιμές NFT εκτοξεύτηκαν στα ύψη, το ίδιο αυξήθηκε και ο αριθμός των hack που στοχεύουν NFT.

Το πιο πρόσφατο χακάρισμα υψηλού προφίλ άντλησε περίπου 600 αιθέρες (ETH) αξίας NFT από τον Arthur0x, τον ιδρυτή του DeFiance Capital, τα οποία στη συνέχεια πουλήθηκαν στο OpenSea.

Μια Έκθεση Crypto Crime για το 2022 που δημοσιεύτηκε από την Chainalysis τόνισε ότι η αξία που αποστέλλεται στις αγορές NFT από παράνομες διευθύνσεις αυξήθηκε σημαντικά το 2021, ξεπερνώντας λίγο λιγότερο από 1.4 εκατομμύρια δολάρια. Υπήρξε επίσης σαφής αύξηση στα κλεμμένα κεφάλαια που αποστέλλονται σε αγορές NFT.

*Συνολική παράνομη αξία που ρέει σε πλατφόρμες NFT. Πηγή: Chainalysis Crypto Crime Report 2022*

Δεδομένης της ανησυχητικής ταχείας αύξησης της παράνομης αξίας που εισρέει στις πλατφόρμες NFT, είναι φυσικό να αναρωτηθούμε εάν υπάρχουν μέτρα και διαδικασίες ασφαλείας και εάν ναι, εάν αυτά τα μέτρα είναι αποτελεσματικά για την προστασία των ιδιοκτητών.

Ας ρίξουμε μια ματιά στο OpenSea, τη μεγαλύτερη πλατφόρμα NFT, και τα μέτρα ασφαλείας του.

Τα μέτρα ασφαλείας στο OpenSea δεν μπορούν να προστατεύσουν τους χρήστες

Το OpenSea έχει δύο κύρια μέτρα ασφαλείας που ενεργοποιούνται όταν ένας λογαριασμός έχει «χακαριστεί» — το κλείδωμα του παραβιασμένου λογαριασμού και ο αποκλεισμός των κλεμμένων NFT. Αυτά τα δύο μέτρα είναι πολύ αναποτελεσματικά όταν τα εξετάζουμε προσεκτικά.

Το κλείδωμα του λογαριασμού μπορεί να γίνει στον ιστότοπο του OpenSea χωρίς ανθρώπινη έγκριση καθώς παρουσιάζεται εδώ, ενώ ο αποκλεισμός των NFT περιλαμβάνει μια μακρά διαδικασία άντλησης εισιτηρίου και αναμονής από την ομάδα βοήθειας του OpenSea να απαντήσει.

Σε μια κατάσταση όπου ένας χάκερ έχει ήδη παραβιάσει το πορτοφόλι και βρίσκεται στη διαδικασία μεταφοράς των NFT προς τα έξω, το κλείδωμα του λογαριασμού θα είναι αποτελεσματικό μόνο εάν γίνει πριν ο χάκερ μεταφέρει τα πάντα έξω.

Ομοίως, το μπλοκάρισμα των NFT είναι επίσης αποτελεσματικό μόνο πριν τα NFT πωληθούν σε άλλον αγοραστή από τον χάκερ. Το ακόμη χειρότερο είναι ότι αυτό το μέτρο ασφαλείας δημιουργεί μια σειρά από έμμεσα θύματα που καταλήγουν σε μπλοκαρισμένα NFT που δεν μπορούν να πουληθούν ή να μεταφερθούν. Αυτό οφείλεται στο γεγονός ότι ο χρόνος απόκρισης για εισιτήρια που συγκεντρώνονται στο OpenSea είναι τουλάχιστον μία ημέρα. Μέχρι να μπλοκαριστούν τα NFT από το OpenSea, θα είχαν ήδη πουληθεί σε άλλον αγοραστή που γίνεται τώρα το νέο θύμα του εγκλήματος.

Στην περίπτωση των 17 κλεμμένων Azuki από το Arthur0x, 15 κλάπηκαν μέσα στο ίδιο λεπτό και δύο κλάπηκαν τρία λεπτά αργότερα. Ο μέσος χρόνος που παρέμειναν αυτά τα κλεμμένα NFT στο πορτοφόλι του χάκερ πριν πουληθούν είναι 43 λεπτά. Τα μέτρα ασφαλείας από το OpenSea δεν ανταποκρίνονται σε καμία περίπτωση και είναι αρκετά γρήγορα ώστε να ενημερώσουν το θύμα και να σταματήσουν τον χάκερ. Ούτε μπορούν να ενημερώσουν τους αγοραστές αρκετά έγκαιρα για να τους εμποδίσουν να αγοράσουν τα κλεμμένα NFT και να γίνουν έμμεσα θύματα.

*Κλεμμένα Azuki NFT από το Aurther0x. Πηγή:* *Ethercan.io*

Ο αποκλεισμός κλεμμένων NFT δημιουργεί έμμεσα θύματα

Έμμεσο θύμα είναι κάποιος που δεν είναι ο στόχος του hack, αλλά υποφέρει έμμεσα από τις οικονομικές απώλειες που προκαλούνται από το μπλοκάρισμα των κλεμμένων NFT. Όπως φαίνεται από πολλές πρόσφατες εισβολές NFT, τα NFT πωλούνται πάντα πριν το μπλοκ εφαρμοστεί από το OpenSea. Η συνέπεια του μπλοκαρίσματος των NFT πολύ αργά είναι ότι δημιουργεί έμμεσα θύματα και περισσότερες απώλειες για περισσότερους ανθρώπους.

Για να δείξουμε με περισσότερες λεπτομέρειες πώς κάποιος θα μπορούσε να καταλήξει να αγοράσει ένα κλεμμένο NFT και να γίνει έμμεσο θύμα ενός hack, ακολουθούν τρεις συνηθισμένες περιπτώσεις:

Υπόθεση 1: Η Αλίκη αγόρασε ένα NFT αλλά μόλις αργότερα ανακάλυψε ότι ήταν κλεμμένο περιουσιακό στοιχείο. Το NFT είναι μπλοκαρισμένο και η Alice δεν μπορεί να το πουλήσει ή να το μεταφέρει στο OpenSea. Στη συνέχεια προχωρά στη συγκέντρωση ενός δελτίου υποστήριξης. Μετά από αρκετές εβδομάδες, η ομάδα του OpenSea Trust & Safety προσφέρει επιστροφή χρημάτων για τα τέλη πλατφόρμας 2.5%. και πιθανώς τη διεύθυνση email του θύματος που ανέφερε την κλοπή αν ήταν τυχερός. Στη συνέχεια, πιθανότατα θα έχει μια μακρά συζήτηση με το θύμα για να διαπραγματευτεί την πιθανότητα άρσης του μπλοκ, η οποία πιθανότατα δεν θα καταλήξει πουθενά.

Η Alice μπορεί ακόμα να πουλήσει το NFT σε άλλες αγορές, αλλά ο όγκος των πωλήσεων είναι πολύ χαμηλός για τη συγκεκριμένη συλλογή και δεν υπάρχει αγοραστής που να μπορεί να προσφέρει δίκαιη τιμή σε πλατφόρμες εκτός του OpenSea.

*Η απάντηση του OpenSea στο έμμεσο θύμα που αγόρασε ένα κλεμμένο NFT*

Υπόθεση 2: Η Αλίκη έκανε πολλές προσφορές ενώ έκανε προσφορές για NFT από μια συλλογή. Μία από τις προσφορές έγινε αποδεκτή από τον χάκερ, ο οποίος στη συνέχεια έλαβε την πληρωμή από την προσφορά στο πορτοφόλι του θύματος και προχώρησε στην εκκαθάριση του πορτοφολιού. Το NFT μπλοκαρίστηκε αργότερα ως μέρος των κλεμμένων περιουσιακών στοιχείων από μη εξουσιοδοτημένες συναλλαγές από το θύμα.

Περιπτώσεις όπως αυτή συμβαίνουν συχνά επειδή τα NFT που αναφέρονται στη λίστα δεν μπορούν να μεταφερθούν εκτός εάν ακυρωθεί η καταχώριση. Ο χάκερ, ο οποίος βρίσκεται υπό πίεση χρόνου, θα είναι πιο πιθανό να δεχτεί μια προσφορά προσφοράς και να πάρει τα έσοδα από την πώληση και να μεταφέρει τα χρήματα έξω. Η παρακάτω περίπτωση δείχνει πώς ολόκληρη η συλλογή NFT του έμμεσου θύματος μπλοκαρίστηκε από το OpenSea χωρίς εξήγηση.

Εδώ είναι το νήμα μου για το πώς @ανοιχτή θάλασσα απέκλεισε αδικαιολόγητα τον λογαριασμό μου και πάγωσε όλα τα NFT μου μετά την προσφορά μου για 40 ευρώ @BoredApeYC Το #6267 έγινε αποδεκτό.
Νομίζω ότι είναι πολύ σημαντικό να διαδοθεί αυτή η υπόθεση στην κοινότητα NFT!
Ας ξεκινήσουμε ⬇️ pic.twitter.com/xnxctpzzpL
— Mpa3yka (@Mpa3yka) Νοέμβριος 10, 2021

Υπόθεση 3: Η Alice έχει ένα NFT εδώ και αρκετό καιρό και ξαφνικά μπλοκάρεται και επισημαίνεται ως "αναφέρθηκε για ύποπτη δραστηριότητα". Ο λογαριασμός του πωλητή δεν έχει παραβιαστεί και η συναλλαγή έγινε πριν από λίγο. Δεδομένου ότι δεν απαιτούνται αποδεικτικά στοιχεία για την αναφορά ενός κλεμμένου NFT και τον αποκλεισμό του, οποιοσδήποτε μπορεί να στείλει ένα email στην ομάδα καταπολέμησης της απάτης του OpenSea για να αποκλείσει οποιοδήποτε NFT.

Αν και αργότερα μπορεί να ζητηθεί αναφορά από την αστυνομία, δεν υπάρχει ούτε σαφής δήλωση από την OpenSea που να προσδιορίζει τα στοιχεία που απαιτούνται για να αποδειχθεί το hack ούτε μια προϋπόθεση υπό την οποία μπορεί να εντοπιστεί και να αφαιρεθεί από το μπλοκ ένα κλεμμένο NFT που έχει αναφερθεί ψευδώς. Δεν υπάρχει καμία συνέπεια για την ψευδή αναφορά κλεμμένων NFT.

Τα NFT συχνά μπλοκάρονται χωρίς εξήγηση ή αποδεικτικά στοιχεία, όπως αναφορές της αστυνομίας που παρέχονται στο έμμεσο θύμα. Θεωρητικά, αυτά τα NFT μπορούν ακόμα να διαπραγματεύονται σε άλλες πλατφόρμες, αλλά δεδομένου του μονοπωλίου της OpenSea στην αγορά, με το 95% του συνολικού όγκου συναλλαγών NFT, το μπλοκάρισμα οποιουδήποτε NFT στο OpenSea ισοδυναμεί σχεδόν με το να τα βγάλεις για πάντα από την αγορά.

Ο αποκλεισμός των NFT θα μπορούσε να αυξήσει τεχνητά την τιμή

Ο κίνδυνος αποκλεισμού κλεμμένων NFT από τη διαπραγμάτευση στη μεγαλύτερη πλατφόρμα NFT OpenSea είναι η μόνιμη μείωση της προσφοράς. Βασισμένο στο νόμος της προσφοράς και της ζήτησης Στην οικονομική θεωρία, όταν η προσφορά πέφτει, η τιμή ανεβαίνει.

Για παράδειγμα, η συλλογή Azuki έχει 10,000 NFT και επί του παρόντος, μόνο 1,100 είναι προς πώληση στο OpenSea. Η εισβολή Arthur0x είχε ως αποτέλεσμα 17 να κλαπούν και να αποκλειστούν. Αν και 17 NFT είναι μόνο περίπου το 1.5% των 1,100 κυκλοφορούντων προμηθειών, η τιμή έχει ήδη δείξει μια τάση αύξησης μετά το hack. Το χακάρισμα έγινε στις 22 Μαρτίου και η τιμή ισχνός στις 28 Μαρτίου έως τις 20.96 E πριν από την ανακοίνωση airdrop στις 31 Μαρτίου — αύξηση 55% μέσα σε μια εβδομάδα.

*Πωλήσεις Azuki και μέση τιμή μετά το hack. Πηγή: OpenSea*

Παρόλο που δεν μπλοκάρονται και τα 17 κλεμμένα NFT καθώς ο Arthur κατάφερε να ανακτήσει μερικά μέσω διαπραγματεύσεων με τα έμμεσα θύματα για να τα αγοράσει πίσω, μελλοντικά hacks με παρόμοια μορφή θα συμβαίνουν συνεχώς και ο αθροιστικός αριθμός των αποκλεισμένων NFT μπορεί να αυξηθεί μόνο καθώς συνεχίζονται τα hacks και δεν υπάρχουν διαδικασίες για την απεμπλοκή τους.

Χρησιμοποιώντας ξανά το Azuki ως παράδειγμα, το παρακάτω γράφημα συλλέγει τον ιστορικό αριθμό πωλήσεων και τη μέση τιμή για να δημιουργήσει μια καμπύλη ζήτησης και υποθέτει ότι η καμπύλη προσφοράς είναι γραμμική. Το σημείο όπου τέμνονται οι καμπύλες προσφοράς και ζήτησης είναι η τιμή ισορροπίας.

Καθώς η προσφορά μειώνεται συνεχώς, η ταχύτητα αύξησης της τιμής γίνεται πιο γρήγορη καθώς η κλίση της καμπύλης ζήτησης γίνεται πιο απότομη. Μια ίση μείωση 300 NFT στην προσφορά από 1,000 σε 700 έναντι 700 σε 400 οδηγεί σε μεγαλύτερη αύξηση της τιμής για το τελευταίο.

Όπως φαίνεται στο παρακάτω γράφημα, η τιμή αυξάνεται από 15 ETH σε 21 ETH από τη μείωση 1,000 σε 700, αλλά αυξάνεται περισσότερο από 21 ETH σε 28 ETH από τη μείωση 700 σε 400.

*Η καμπύλη προσφοράς και ζήτησης της Azuki βασίζεται σε πωλήσεις και τιμές από το OpenSea*

Είναι σαφές ότι το μπλοκάρισμα των κλεμμένων NFT θα μπορούσε να αυξήσει τεχνητά την τιμή της συλλογής. Εάν κάποιος ήθελε να εκμεταλλευτεί το κενό στο σύστημα ασφαλείας OpenSea αναφέροντας ψευδώς πολλά NFT από την ίδια συλλογή με τα κλεμμένα (καθώς δεν απαιτούνται στοιχεία για την αναφορά κλεμμένων NFT), η τιμή της συλλογής θα μπορούσε να αυξηθεί δραματικά εάν η προσφορά είναι χαμηλή . Αυτό το κενό θα μπορούσε να δημιουργήσει ευκαιρίες για χειραγώγηση των τιμών στην αγορά μη ρευστοποιήσιμων NFT.

Σε κάθε περίπτωση, το μπλοκάρισμα των NFT δεν είναι ένα αποτελεσματικό μέτρο για να σταματήσει το hack ή να τιμωρήσει τον χάκερ, αλλά αντίθετα, δημιουργεί περισσότερα έμμεσα θύματα και κενά για τους χειριστές της αγοράς. Σίγουρα δεν είναι αυτός ο τρόπος, οπότε υπάρχει κάποιο αποτελεσματικό μέτρο ασφαλείας;

Πρέπει να δημιουργηθούν προληπτικά μέτρα και ένα σύστημα που να βασίζεται σε στοιχεία

Το τρέχον σύστημα ασφαλείας OpenSea δεν διαθέτει προληπτικά μέτρα για την εκ των προτέρων προστασία των χρηστών. Όλα τα μέτρα ασφαλείας εφαρμόζονται μόνο μετά το hack, που είναι ένας από τους κύριους λόγους για τους οποίους είναι αναποτελεσματικά.

Με βάση τις συμπεριφορές των χάκερ, ο χρόνος είναι ένα ουσιαστικό συστατικό. Τα μέτρα ασφαλείας που μπορούν να επιβραδύνουν τον χάκερ ή να ενημερώσουν έγκαιρα τα θύματα είναι τα κλειδιά για τη νίκη. Ακολουθούν μερικά πιο αποτελεσματικά προληπτικά μέτρα που μπορούν να εφαρμοστούν από το OpenSea:

Δημιουργήστε ένα σύστημα έγκαιρης προειδοποίησης που μπορεί να ανιχνεύσει μη φυσιολογική δραστηριότητα λογαριασμού και να στείλει άμεσα μηνύματα κειμένου ή ειδοποιήσεις μέσω email για να ενημερώσει τους χρήστες για μια τέτοια δραστηριότητα, ώστε να έχουν αρκετό χρόνο για να απαντήσουν. Για παράδειγμα, εάν ο λογαριασμός δεν έχει αγοράσει ή μεταφέρει ποτέ περισσότερα από ένα NFT μέσα σε ένα λεπτό. ή εάν ο λογαριασμός δεν είχε ποτέ δραστηριότητες στο παρελθόν κατά τη διάρκεια μιας συγκεκριμένης χρονικής περιόδου (δηλ. ζώνες ώρας όταν ο χρήστης κοιμάται), η εμφάνιση τέτοιων δραστηριοτήτων θα εντοπιστεί από αλγόριθμους μηχανικής εκμάθησης. Ο κάτοχος λογαριασμού μπορεί να επιλέξει να ενημερωθεί αμέσως ή να επιτρέψει το αυτόματο κλείδωμα του λογαριασμού για ασφάλεια.

Παρέχετε στους χρήστες την επιλογή να περιορίζουν τον μέγιστο αριθμό μεταφορών ή πωλήσεων NFT που επιτρέπονται εντός ενός χρονικού πλαισίου, π.χ. το πολύ μία μεταφορά ή πώληση εντός ενός λεπτού. ή ένα ελάχιστο χρονικό διάστημα που επιβάλλεται μεταξύ κάθε μεταφοράς ή πώλησης, δηλαδή, η επόμενη μεταβίβαση ή πώληση μπορεί να πραγματοποιηθεί μόνο 15 λεπτά μετά την προηγούμενη. Αυτά τα μέτρα μπορούν να αποτρέψουν τους χάκερ από το να κλέψουν μεγάλο αριθμό NFT με μία κίνηση.

Δημιουργήστε ύποπτους πίνακες ελέγχου λογαριασμών που επιτρέπουν στα θύματα να προσθέτουν αμέσως παραβιασμένους λογαριασμούς και λογαριασμούς χάκερ για δημόσιο έλεγχο. Αυτό θα δώσει σε όλους τους αγοραστές πληροφορίες σε πραγματικό χρόνο σχετικά με ύποπτους λογαριασμούς και τη δυνατότητα να ελέγχουν αν ο πωλητής είναι στη λίστα πριν αγοράσουν. Αποδεικτικά στοιχεία όπως μια αστυνομική αναφορά μπορούν να ζητηθούν αργότερα από το θύμα για να αποδειχθεί ότι οι αναφερόμενοι λογαριασμοί έχουν πράγματι παραβιαστεί.

Ορισμένα από αυτά τα μέτρα ενδέχεται να δημιουργήσουν ψευδείς συναγερμούς και ταλαιπωρία. Όμως, δεδομένου ότι είναι ένας αγώνας χρόνου ενάντια στον χάκερ όσον αφορά τα προληπτικά μέτρα, οι χρήστες προτιμούν να είναι ασφαλείς παρά να λυπούνται για να αποφύγουν να γίνουν το επόμενο θύμα.

Συνήθεις λανθασμένες αντιλήψεις σχετικά με την παραβίαση κρυπτονομισμάτων

Μια κοινή παρανόηση σχετικά με το κρυπτογραφικό hacking είναι ότι «αυτό δεν θα συμβεί σε μένα επειδή η επίγνωση ασφαλείας μου είναι υψηλή και χρησιμοποιώ ένα σκληρό πορτοφόλι». Μπορεί να είναι αλήθεια ότι ένα άμεσο κακόβουλο hack θα μπορούσε να αποφευχθεί μέσω της ορθής πρακτικής ασφάλειας, αλλά οποιοσδήποτε θα μπορούσε να γίνει έμμεσο θύμα μιας εισβολής που στοχεύει κάποιον άλλο. Όταν ο αριθμός των hack αυξάνεται, η πιθανότητα να γίνετε έμμεσο θύμα είναι επίσης πολύ μεγαλύτερη.

Μια άλλη παρανόηση είναι, «εφόσον δεν κρατάω πολλά χρήματα στο ζεστό πορτοφόλι μου, δεν έχει σημασία αν το πορτοφόλι έχει παραβιαστεί». Αυτό που οι περισσότεροι χρήστες αδυνατούν να συνειδητοποιήσουν είναι ότι η χρηματική απώλεια είναι μόνο μία από τις συνέπειες του hack. Η απώλεια ενός πορτοφολιού Web3 είναι σαν να χάνετε ολόκληρο το πιστωτικό ιστορικό σας. Τυχόν μελλοντικά οφέλη που βασίζονται σε προηγούμενες δραστηριότητες, όπως airdrops ή πρόσβαση σε δάνεια και μόχλευση, θα μπορούσαν επίσης να εξατμιστούν με το παραβιασμένο πορτοφόλι.

Αν και το blockchain είναι μια από τις πιο ασφαλείς χρηματοοικονομικές τεχνολογίες που δημιουργήθηκαν ποτέ, οι κακόβουλες εισβολές προς πλατφόρμες που βασίζονται σε κρυπτογράφηση αποτελούν τη μεγαλύτερη απειλή για το εγχείρημα Web3.

Δεδομένης της μη αναστρέψιμης φύσης του blockchain και της έλλειψης προληπτικών μέτρων ασφαλείας του OpenSea, δεν είναι δύσκολο να δούμε την καλύτερη λύση που κατέληξε η OpenSea μετά την Hack δημοπρασίας τομέα Ethereum είναι να προσφέρει στον χάκερ κέρδος 25% από την πώληση με αντάλλαγμα την επιστροφή των κλεμμένων NFT. Μόνο στον κόσμο της αγοράς NFT μπορεί ένας εγκληματίας να ανταμειφθεί αντί να τιμωρηθεί για ένα τόσο σοβαρό έγκλημα.

Ως μονοπώλιο της αγοράς NFT, το OpenSea μπορεί σίγουρα να τα καταφέρει καλύτερα από αυτό και να λάβει πιο σοβαρά μέτρα ασφαλείας και να παρέχει μεγαλύτερη προστασία στους χρήστες του.

Οι απόψεις και οι απόψεις που εκφράζονται εδώ είναι αποκλειστικά αυτές του συγγραφέα και δεν αντικατοπτρίζουν απαραίτητα τις απόψεις του Cointelegraph.com. Κάθε κίνηση επένδυσης και διαπραγμάτευσης συνεπάγεται κίνδυνο, θα πρέπει να κάνετε τη δική σας έρευνα κατά τη λήψη μιας απόφασης.