Рынок невзаимозаменяемых токенов (NFT) переживает бум с лета 2021 года, и по мере того, как цены на NFT стремительно росли, количество взломов, нацеленных на NFT, также росло.

В результате самого последнего громкого взлома было перекачано NFT на сумму около 600 эфиров от Arthur0x, основателя DeFiance Capital, и они были проданы на OpenSea.

В отчете о криптопреступлениях за 2022 год, опубликованном Chainalysis, подчеркивается, что стоимость, отправленная на торговые площадки NFT с незаконных адресов, значительно подскочила в 2021 году, достигнув чуть менее 1,4 миллиона долларов. Также наблюдается явное увеличение украденных средств, отправленных на торговые площадки NFT.

Общая незаконная стоимость, перетекающая на платформы NFT. Источник: Отчет о криптопреступлениях Chainalysis за 2022 г.
Общая незаконная стоимость, перетекающая на платформы NFT. Источник: Отчет о криптопреступлениях Chainalysis за 2022 г.

Учитывая вызывающий обеспокоенность быстрый рост незаконной стоимости, поступающей на платформы NFT, естественно задаться вопросом, существуют ли меры и процедуры безопасности, и если да, то эффективны ли эти меры для защиты владельцев.

Давайте взглянем на OpenSea, крупнейшую платформу NFT, и ее меры безопасности.

Меры безопасности в OpenSea не могут защитить пользователей

В OpenSea есть две основные меры безопасности, которые срабатывают после «взлома» учетной записи — блокировка скомпрометированной учетной записи и блокировка украденных NFT. Эти две меры очень неэффективны, если смотреть на них внимательно.

Блокировка учетной записи может быть выполнена на веб-сайте OpenSea, как показано здесь, без одобрения человека; в то время как блокировка NFT включает в себя длительный процесс создания заявки и ожидания ответа команды поддержки OpenSea.

В ситуации, когда хакер уже скомпрометировал кошелек и находится в процессе передачи NFT, блокировка учетной записи будет эффективной только в том случае, если это будет сделано достаточно быстро, прежде чем хакер передаст все.

Точно так же блокировка NFT также эффективна только до того, как хакер продаст NFT другому покупателю. Что еще хуже, эта мера безопасности создает ряд косвенных жертв, которые в конечном итоге получают заблокированные NFT, которые нельзя продать или передать. Это связано с тем, что время ответа на запросы, поднятые в OpenSea, составляет не менее 1 дня. К тому времени, когда OpenSea заблокирует NFT, они уже будут проданы другому покупателю, который теперь становится новой жертвой преступления.

В случае с 17 украденными Azuki у Arthur0x, 15 из них были украдены в течение одной минуты, а 2 из них были украдены через 3 минуты после этого. Среднее время, в течение которого эти украденные NFT оставались в кошельке хакера до того, как они были проданы, составляет 43 минуты. Меры безопасности OpenSea никак не реагируют и не реагируют достаточно быстро, чтобы сообщить жертве и остановить хакера; они также не могут информировать покупателей достаточно быстро, чтобы помешать им купить украденные NFT и стать косвенной жертвой.

Украденные Azuki NFT от Aurther0x. Источник: Etherscan.io
Украденные Azuki NFT от Aurther0x. Источник: Etherscan.io

Блокировка украденных NFT создает косвенных жертв

Косвенная жертва — это тот, кто не является целью взлома, но косвенно страдает от финансовых потерь, вызванных блокировкой украденных NFT. Как видно из многих недавних взломов NFT, NFT всегда продаются до того, как OpenSea реализует блокировку. Последствием слишком поздней блокировки NFT является то, что это приводит к косвенным жертвам и большим потерям для большего числа людей.

Чтобы более подробно проиллюстрировать, как любой может в конечном итоге купить украденный NFT и стать косвенной жертвой взлома, вот три распространенных случая:

Случай 1: Алиса купила NFT, но только позже узнала, что это украденный актив. NFT заблокирован, и Алиса не может продать или передать его в OpenSea. Затем она продолжает поднимать билет поддержки. Через несколько недель команда OpenSea Trust & Safety предлагает возместить сборы платформы в размере 2,5%; и, возможно, адрес электронной почты жертвы, которая сообщила о краже, если повезет. Затем у нее, вероятно, будет долгая дискуссия с жертвой, чтобы договориться о снятии блокировки, которая, скорее всего, ни к чему не приведет.

Алиса по-прежнему может продавать NFT на других торговых площадках, но объем продаж этой конкретной коллекции очень низок, и нет покупателя, который мог бы предложить справедливую цену на других платформах, кроме OpenSea.

Ответ OpenSea непрямой жертве, купившей украденный NFT
Ответ OpenSea непрямой жертве, купившей украденный NFT

Случай 2: Алиса сделала несколько предложений о ставках NFT из коллекции. Одно из предложений было принято хакером, который затем получил платеж от ставки в кошелек жертвы и приступил к очистке кошелька. Позже NFT был заблокирован как часть активов, украденных жертвой в результате несанкционированных транзакций.

Подобные случаи часто случаются, потому что перечисленные NFT не могут быть переданы, если листинг не отменен. Хакер, которому не хватает времени, с большей вероятностью примет предложение о торгах, получит выручку от продажи и переведет деньги. Случай ниже показывает, как вся коллекция NFT непрямой жертвы была заблокирована OpenSea без объяснения причин.

Вот моя ветка о том, как @opensea необоснованно заблокировала мою учетную запись и заморозила все мои NFT после того, как мое предложение 40 weth для @BoredApeYC #6267 было принято.
Я думаю, что очень важно распространить это дело среди сообщества NFT!
Начнем ⬇️ pic.Twitter.com/xnxctpzzpL

— Mpa3yka (@Mpa3yka) 10 ноября 2021 г.

Случай 3: Алиса владела NFT в течение достаточно долгого времени, и внезапно он был заблокирован и помечен как «заявлено о подозрительной активности». Аккаунт продавца не скомпрометирован, и транзакция произошла некоторое время назад. Поскольку для того, чтобы сообщить об украденных NFT и заблокировать их, не требуется никаких доказательств, любой может отправить электронное письмо команде OpenSea по борьбе с мошенничеством, чтобы заблокировать любой NFT.

Хотя полицейский отчет может быть запрошен позже, у OpenSea нет ни четкого заявления с указанием доказательств, необходимых для доказательства взлома, ни условий, при которых ложно заявленный украденный NFT может быть идентифицирован и снят с блокировки. Нет никаких последствий для ложного сообщения об украденных NFT.

NFT часто блокируются без каких-либо объяснений или доказательств, таких как полицейские отчеты, предоставленные косвенной жертве. Теоретически этими NFT все еще можно торговать на других платформах, но, учитывая монополию OpenSea на рынке с 95% от общего объема торговли NFT, блокировка любого NFT на OpenSea почти эквивалентна их удалению с рынка навсегда.

Блокировка NFT может искусственно повысить цену

Опасность блокировки украденных NFT для торговли на крупнейшей платформе NFT OpenSea заключается в постоянном сокращении предложения. Согласно закону спроса и предложения в экономической теории, когда предложение падает, цена растет.

Например, коллекция Azuki насчитывает 10 000 NFT, и в настоящее время только 1 100 продаются в OpenSea. В результате взлома Arthur0x 17 из них были украдены и заблокированы. Хотя 17 NFT составляют всего около 1,5% от 1100 находящихся в обращении, цена уже показала тенденцию к росту после взлома. Взлом произошел 22 марта, а цена достигла пика 28 марта до 20,96 эфира до объявления об аирдропе 31 марта — рост на 55% за неделю.

Продажи Азуки и средняя цена после взлома. Источник: OpenSea
Продажи Азуки и средняя цена после взлома. Источник: OpenSea

Хотя не все из 17 украденных NFT заблокированы, поскольку Артуру удалось вернуть некоторые из них путем переговоров с непрямыми жертвами, чтобы выкупить их, будущие взломы в аналогичной форме будут происходить постоянно, и в совокупности количество заблокированных NFT может только увеличиваться по мере того, как взломы продолжаются, и больше нет. существуют процедуры для их разблокировки.

Снова используя Azuki в качестве примера, приведенный ниже график собирает историческое количество продаж и среднюю цену для создания кривой спроса и предполагает, что кривая предложения является линейной. Точка пересечения кривых спроса и предложения является равновесной ценой.

Поскольку предложение постоянно сокращается, скорость роста цены увеличивается по мере того, как наклон кривой спроса становится круче. Равное уменьшение предложения 300 NFT с 1000 до 700 по сравнению с 700 до 400 приводит к большему росту цен на последние.

Как показано на графике ниже, цена увеличивается с 15 ETH до 21 ETH при снижении с 1000 до 700, но еще больше увеличивается с 21 ETH до 28 ETH при снижении с 700 до 400.

Кривая спроса и предложения Azuki, основанная на продажах и ценах OpenSea
Кривая спроса и предложения Azuki, основанная на продажах и ценах OpenSea

Понятно, что блокировка украденных NFT может искусственно увеличить стоимость коллекции. Если кто-то захочет воспользоваться лазейкой в ​​системе безопасности OpenSea, ложно сообщив о многих NFT из той же коллекции, что и об украденных (поскольку для сообщения об украденных NFT не требуется никаких доказательств), цена коллекции может резко возрасти, если предложение будет низким. . Эта лазейка может создать возможности для манипулирования ценами на неликвидном рынке NFT.

В любом случае блокировка NFT не является эффективной мерой по прекращению взлома или наказанию хакера, а, наоборот, создает больше косвенных жертв и лазеек для рыночных манипуляторов. Это, конечно, не выход, так есть ли какая-нибудь эффективная мера безопасности?

Необходимо наличие превентивных мер и системы, основанной на фактических данных.

Текущая система безопасности OpenSea не имеет превентивных мер для заблаговременной защиты пользователей. Все меры безопасности реализуются только после взлома, что является одной из основных причин их неэффективности.

Судя по поведению хакеров, время является важным компонентом. Меры безопасности, которые могут замедлить хакера или заранее информировать жертв, являются ключом к победе в битве. Вот еще несколько эффективных превентивных мер, которые может реализовать OpenSea:

  • Создайте систему раннего предупреждения, которая может обнаруживать ненормальную активность в учетной записи и отправлять мгновенные текстовые сообщения или оповещения по электронной почте, чтобы информировать пользователей о такой активности, чтобы у них было достаточно времени для ответа. Например, если аккаунт никогда не покупал и не переводил более одного NFT в течение одной минуты; или если учетная запись никогда не выполняла никаких действий в прошлом в течение определенного периода времени (т. е. часовых поясов, когда пользователь спал), появление таких действий будет обнаружено алгоритмами машинного обучения. Владелец учетной записи может выбрать немедленное уведомление или разрешить автоматическую блокировку учетной записи в целях безопасности.
  • Предоставьте пользователям возможность ограничить максимальное количество переводов или продаж NFT, разрешенных в течение определенного периода времени, то есть максимум один перевод или продажу в течение одной минуты; или минимальный временной интервал между каждой передачей или продажей, т. е. следующая передача или продажа может произойти только через 15 минут после предыдущей. Эти меры могут помешать хакерам украсть большое количество NFT за один раз.
  • Создавайте информационные панели подозрительных учетных записей, которые позволяют жертвам мгновенно добавлять скомпрометированные учетные записи и учетные записи хакеров для общественного контроля. Это даст всем покупателям информацию о подозрительных аккаунтах в режиме реального времени и возможность перепроверить, есть ли продавец в списке, прежде чем покупать. Позже у жертвы могут быть запрошены такие доказательства, как полицейский отчет, чтобы доказать, что заявленные учетные записи действительно скомпрометированы.

Некоторые из этих мер могут создавать ложные тревоги и неудобства. Но, учитывая, что когда дело доходит до превентивных мер, это гонка времени против хакера, пользователи скорее будут в безопасности, чем сожалеть, чтобы не стать следующей жертвой.

Распространенные заблуждения о взломе криптовалют

Распространенное заблуждение о криптохакерстве заключается в том, что «это не произойдет со мной, потому что я хорошо разбираюсь в безопасности и использую жесткий кошелек». Может быть и правда, что прямого злонамеренного взлома можно избежать с помощью надлежащей практики безопасности, но любой может стать косвенной жертвой взлома, нацеленного на кого-то другого. Когда количество взломов увеличивается, вероятность стать косвенной жертвой также намного выше.

Другое заблуждение заключается в том, что «пока я не держу слишком много денег в своем горячем кошельке, не имеет значения, взломан ли кошелек». Большинство пользователей не понимают, что денежные потери — это только часть последствий взлома. Потеря кошелька Web3 равносильна потере всей кредитной истории. Любые будущие выгоды, основанные на прошлых действиях, таких как аирдропы или доступ к кредитам и кредитному плечу, также могут испариться вместе со скомпрометированным кошельком.

Хотя блокчейн является одной из самых безопасных финансовых технологий, когда-либо созданных, злонамеренные взломы криптографических платформ представляют собой наибольшую угрозу для предприятия Web3.

Учитывая необратимый характер блокчейна и отсутствие превентивных мер безопасности в OpenSea, нетрудно увидеть, что лучшее решение, предложенное OpenSea после взлома аукциона домена Ethereum, заключается в том, чтобы предложить хакеру 25% прибыли от продажи в обмен на возврат украденных NFT. Только в мире рынка NFT преступник может получить вознаграждение, а не наказание за такое серьезное преступление.

Будучи монополистом на рынке NFT, OpenSea, безусловно, может добиться большего успеха, более серьезно относиться к мерам безопасности и обеспечивать большую защиту своих пользователей.

Источник