Тржиште незаменљивих токена (НФТ) цвета од лета 2021. и како су цене НФТ-а нагло порасле, тако је растао и број хакова усмерених на НФТ.
Најновији високо-профилни хак је извукао око 600 Етхер (ETH) у вредности НФТ-а од Артхур0к-а, оснивача ДеФианце Цапитал-а, који су потом продати на ОпенСеа-у.
Извештај о крипто криминалу за 2022. који је објавио Цхаиналисис наглашава да је вредност послата на НФТ тржишта са недозвољених адреса значајно скочила 2021. године, достигавши нешто мање од 1.4 милиона долара. Такође је дошло до јасног повећања украдених средстава послатих на НФТ тржишта.
С обзиром на забрињавајући нагли пораст незаконите вредности која се улива у НФТ платформе, природно је запитати се да ли постоје безбедносне мере и процедуре и ако постоје, да ли су ове мере ефикасне у заштити власника.
Хајде да погледамо ОпенСеа, највећу НФТ платформу, и њене безбедносне мере.
Мере безбедности у ОпенСеа не могу да заштите кориснике
ОпенСеа има две главне безбедносне мере које се примењују када је налог „хакован“ — закључавање компромитованог налога и блокирање украдених НФТ-ова. Ове две мере су веома неефикасне када се посматрају изблиза.
Закључавање налога може се извршити на веб локацији ОпенСеа без људског одобрења као приказан овде, док блокирање НФТ-ова укључује дуготрајан процес подизања тикета и чекања да тим за помоћ ОпенСеа одговори.
У ситуацији у којој је хакер већ компромитовао новчаник и у процесу је преноса НФТ-а, закључавање налога ће бити ефикасно само ако се изврши пре него што хакер све пренесе.
Слично томе, блокирање НФТ-ова је такође ефикасно само пре него што хакер прода НФТ-ове другом купцу. Што је још горе, ова безбедносна мера ствара низ индиректних жртава које завршавају са блокираним НФТ-овима који се не могу продати или пренети. То је зато што је време одговора за тикете прикупљене у ОпенСеа-у најмање један дан. До тренутка када ОпенСеа блокира НФТ-ове, они би већ били продати другом купцу који сада постаје нова жртва злочина.
У случају 17 украдених Азукија од Артхур0к-а, 15 је украдено у истом минуту, а два су украдена три минута касније. Просечно време које су ови украдени НФТ остали у новчанику хакера пре него што су продати је 43 минута. Безбедносне мере ОпенСеа ни на који начин не реагују и нису довољно брзе да обавесте жртву и зауставе хакера; не могу ни да обавесте купце довољно брзо да их спрече да купе украдене НФТ и постану индиректне жртве.
Блокирање украдених НФТ-ова ствара индиректне жртве
Индиректна жртва је неко ко није мета хаковања, али индиректно пати од финансијских губитака изазваних блокирањем украдених НФТ-ова. Као што се види из многих недавних НФТ хакова, НФТ се увек продају пре него што ОпенСеа имплементира блок. Последица прекасног блокирања НФТ-а је да то ствара индиректне жртве и више губитака за више људи.
Да бисмо детаљније илустровали како би неко могао да купи украдени НФТ и постане индиректна жртва хаковања, ево три уобичајена случаја:
Цасе КСНУМКС: Алис је купила НФТ, али је тек касније сазнала да је то украдено средство. НФТ је блокиран и Алиса не може да га прода или пренесе на ОпенСеа. Затим наставља да прикупља карту за подршку. Након неколико недеља, ОпенСеа Труст & Сафети тим нуди рефундирање накнада за платформу од 2.5%; и евентуално имејл адресу жртве која је пријавила крађу ако буде имала среће. Затим ће вероватно имати дугу дискусију са жртвом како би преговарала о могућности подизања блокаде, што највероватније неће завршити нигде.
Алице и даље може да продаје НФТ на другим тржиштима, али обим продаје је веома низак за ову конкретну колекцију и не постоји купац који може да понуди фер цену на другим платформама осим ОпенСеа.
Цасе КСНУМКС: Алис је дала више понуда док је лицитирала за НФТ из колекције. Хакер је прихватио једну од понуда, који је затим примио уплату из понуде у новчаник жртве и наставио да чисти новчаник. НФТ је касније блокиран као део украдене имовине из неовлашћених трансакција од стране жртве.
Овакви случајеви се често дешавају јер се наведени НФТ-ови не могу пренети осим ако се листа не откаже. Хакер, који је под временским притиском, вероватније ће прихватити понуду и добити приход од продаје и пребацити новац. Случај у наставку показује како је целокупна НФТ колекција индиректне жртве блокирана од стране ОпенСеа без објашњења.
Ево моје теме о томе како @пучина неоправдано блокирао мој налог и замрзнуо све моје НФТ после моје понуде 40 ветх фор @БоредАпеИЦ #6267 је прихваћен.
Мислим да је веома важно проширити овај случај међу НФТ заједницом!
Почнимо ⬇ пиц.твиттер.цом/кнкцтпззпЛ— Мпа3ика (@Мпа3ика) Новембар 10, 2021
Цасе КСНУМКС: Алице већ неко време поседује НФТ и одједном је блокиран и означен као „пријављен за сумњиву активност“. Налог продавца није компромитован и трансакција се десила пре неког времена. Пошто нису потребни докази за пријаву украденог НФТ-а и његово блокирање, свако може послати е-пошту ОпенСеа тиму за борбу против превара да блокира било који НФТ.
Иако се полицијски извештај може затражити касније, не постоји јасна изјава ОпенСеа-а да се прецизирају докази потребни за доказивање хаковања, нити услов под којим се лажно пријављени украдени НФТ може идентификовати и подићи из блока. Нема последица за лажно пријављивање украдених НФТ-ова.
НФТ-ови су често блокирани без објашњења или доказа, као што су полицијски извештаји који се достављају индиректној жртви. Теоретски, овим НФТ-овима се и даље може трговати на другим платформама, али имајући у виду монопол ОпенСеа-а на тржишту, са 95% укупног обима НФТ трговања, блокирање било којег НФТ-а на ОпенСеа-у је скоро еквивалентно њиховом заувек укидању са тржишта.
Блокирање НФТ-а могло би вештачки да повећа цену
Опасност од блокирања украдених НФТ-ова за трговање на највећој НФТ платформи ОпенСеа је трајно смањење понуде. Базира на закон понуде и тражње у економској теорији, када понуда опада, цена расте.
На пример, Азуки колекција има 10,000 НФТ-ова и тренутно је само 1,100 у продаји на ОпенСеа-у. Артхур0к хак је довео до тога да је 17 украдено и блокирано. Иако је 17 НФТ-а само око 1.5% од 1,100 оптицајних понуда, цена је већ показала тренд раста након хаковања. Хак се догодио 22. марта и цена врхунац 28. марта до 20.96 Е пре најаве аирдроп-а 31. марта — повећање од 55% у року од недељу дана.
Иако није свих 17 украдених НФТ-ова блокирано јер је Артур успео да поврати неке кроз преговоре са индиректним жртвама да их откупи, будући хакови у сличном облику ће се дешавати континуирано и кумулативни број блокираних НФТ-ова може се само повећавати како се хаковање настави и не постоје процедуре за њихово деблокирање.
Поново користећи Азуки као пример, доњи графикон прикупља историјски број продаје и просечне цене да би се створила крива потражње и претпоставља се да је крива понуде линеарна. Тачка у којој се секу криве понуде и тражње је равнотежна цена.
Како се понуда континуирано смањује, брзина повећања цене постаје бржа како нагиб криве тражње постаје стрмији. Подједнако смањење понуде за 300 НФТ са 1,000 на 700 у односу на 700 на 400 резултира већим повећањем цене за последње.
Као што је приказано на графикону испод, цена расте са 15 ЕТХ на 21 ЕТХ са смањења од 1,000 на 700, али расте више са 21 ЕТХ на 28 ЕТХ са смањења од 700 на 400.
Јасно је видети да би блокирање украдених НФТ-ова могло вештачки да повећа цену колекције. Ако је неко желео да искористи рупу у безбедносном систему ОпенСеа тако што ће лажно пријавити многе НФТ-ове из исте колекције као украдене (пошто нису потребни докази за пријаву украдених НФТ-ова), цена колекције би могла драматично да порасте ако је понуда ниска . Ова рупа у закону могла би да створи могућности за манипулацију ценама на неликвидном НФТ тржишту.
У сваком случају, блокирање НФТ-а није ефикасна мера за заустављање хаковања или кажњавање хакера, већ напротив, ствара више индиректних жртава и рупа у рупи за тржишне манипулаторе. Ово свакако није прави пут, па да ли постоји ефикасна безбедносна мера?
Превентивне мере и систем заснован на доказима морају бити успостављени
Тренутни ОпенСеа безбедносни систем нема превентивне мере за заштиту корисника унапред. Све сигурносне мере се спроводе тек након хаковања, што је један од главних разлога зашто су неефикасне.
На основу понашања хакера, време је суштинска компонента. Сигурносне мере које могу успорити хакера или рано обавестити жртве су кључ за победу у бици. Ево неких ефикаснијих превентивних мера које ОпенСеа може да примени:
- Креирајте систем раног упозорења који може да открије ненормалну активност налога и пошаље тренутне текстуалне поруке или обавештења е-поштом да обавести кориснике о таквој активности како би имали довољно времена да одговоре. На пример, ако налог никада није купио или пренео више од једног НФТ-а у року од једног минута; или ако налог никада није имао никакве активности у прошлости током одређеног временског периода (тј. временске зоне када корисник спава), појава таквих активности ће бити откривена алгоритмима машинског учења. Власник налога може изабрати да одмах буде обавештен или да дозволи да се рачун аутоматски закључа ради безбедности.
- Омогућити корисницима да ограниче максимални број НФТ трансфера или продаја дозвољених у временском оквиру, односно максимално један трансфер или продају у року од једног минута; или минимални временски интервал између сваког преноса или продаје, тј. следећи пренос или продаја се може десити само 15 минута након претходне. Ове мере могу спречити хакере да украду велики број НФТ-ова у једном потезу.
- Направите контролне табле за сумњиве налоге које омогућавају жртвама да тренутно додају компромитоване налоге и налоге хакера за јавну контролу. Ово ће свим купцима дати информације у реалном времену о сумњивим налозима и могућност унакрсне провере да ли је продавац на листи пре куповине. Докази као што је полицијски извештај могу се касније затражити од жртве како би се доказало да су пријављени рачуни заиста компромитовани.
Неке од ових мера могу створити лажне узбуне и непријатности. Али имајући у виду да је у питању трка времена против хакера када су у питању превентивне мере, корисници би радије били сигурни него жалили да не постану следећа жртва.
Уобичајене заблуде о крипто хаковању
Уобичајена заблуда о крипто хаковању је да ми се то неће десити јер је моја свест о безбедности висока и користим чврст новчаник. Можда је тачно да се директни злонамерни хак може избећи добром безбедносном праксом, али свако може постати индиректна жртва хаковања циљаног на неког другог. Када се број хакова повећа, шанса да постанете индиректна жртва такође је много већа.
Још једно погрешно схватање је, „све док не држим превише новца у свом врућем новчанику, није важно да ли је новчаник угрожен.“ Оно што већина корисника не схвата је да је новчани губитак само једна од последица хаковања. Губитак Веб3 новчаника је као губитак целе кредитне историје. Све будуће бенефиције засноване на прошлим активностима као што су аирдропс или приступ кредитима и полуге такође могу нестати са угроженим новчаником.
Иако је блоцкцхаин једна од најбезбеднијих финансијских технологија икада створених, злонамерни хакови ка крипто-базираним платформама највећа су претња за Веб3 подухват.
С обзиром на неповратну природу блокчејна и недостатак превентивних безбедносних мера ОпенСеа, није тешко видети најбоље решење до којег је ОпенСеа дошао након Хак за аукцију домена Етхереум је понудити хакеру 25% профита од продаје у замену за враћање украдених НФТ-ова. Само у свету НФТ тржишта криминалац може бити награђен, а не кажњен за тако озбиљан злочин.
Као монопол НФТ тржишта, ОпенСеа свакако може боље од овога и озбиљније предузети мере безбедности и пружити већу заштиту својим корисницима.
Овдје приказана стајалишта и мишљења су искључиво становишта аутора и не одражавају нужно ставове Цоинтелеграпх.цом. Сваки потез улагања и трговања укључује ризик, приликом доношења одлуке требало би да спроведете сопствено истраживање.
Извор: хттпс://цоинтелеграпх.цом/невс/хере-с-хов-опенсеа-нфт-хацкс-хурт-овнерс-буиерс-анд-евен-ентире-цоллецтионс