Ang nonfungible token (NFT) market ay umuusbong mula noong tag-araw ng 2021 at habang ang mga presyo ng NFT ay tumataas, gayundin ang bilang ng mga hack na nagta-target sa mga NFT.
Ang pinakahuling high-profile hack ay sumipsip ng humigit-kumulang 600 Ether (ETH) na halaga ng mga NFT mula kay Arthur0x, ang tagapagtatag ng DeFiance Capital, na noon ay ibinenta sa OpenSea.
Ang isang 2022 Crypto Crime Report na inilathala ng Chainalysis ay nag-highlight na ang halaga na ipinadala sa mga NFT marketplace sa pamamagitan ng mga ipinagbabawal na address ay tumaas nang malaki noong 2021, na nangunguna sa mas mababa sa $1.4 milyon. Nagkaroon din ng malinaw na pagtaas sa mga ninakaw na pondo na ipinadala sa mga pamilihan ng NFT.
Dahil sa patungkol sa mabilis na pagtaas ng ipinagbabawal na halaga na dumadaloy sa mga platform ng NFT, natural na magtanong kung ang mga hakbang at pamamaraan sa seguridad ay inilagay at kung gayon, kung ang mga hakbang na ito ay epektibo sa pagprotekta sa mga may-ari.
Tingnan natin ang OpenSea, ang pinakamalaking platform ng NFT, at ang mga hakbang sa seguridad nito.
Hindi mapoprotektahan ng mga hakbang sa seguridad sa OpenSea ang mga user
Ang OpenSea ay may dalawang pangunahing hakbang sa seguridad na magsisimula kapag ang isang account ay “na-hack” — pagla-lock sa nakompromisong account at pagharang sa mga ninakaw na NFT. Ang dalawang hakbang na ito ay lubhang hindi epektibo kapag tinitingnang mabuti ang mga ito.
Ang pag-lock ng account ay maaaring gawin sa OpenSea website nang walang pag-apruba ng tao bilang ipinapakita dito, samantalang ang pagharang sa mga NFT ay nagsasangkot ng mahabang proseso ng pagtataas ng tiket at paghihintay para sa tulong ng OpenSea team na tumugon.
Sa isang sitwasyon kung saan nakompromiso na ng hacker ang wallet at nasa proseso ng paglilipat ng mga NFT palabas, magiging epektibo lang ang pag-lock ng account kung tapos na ito bago mailipat ng hacker ang lahat.
Katulad nito, ang pagharang sa mga NFT ay epektibo lamang bago ibenta ang mga NFT sa ibang mamimili ng hacker. Ang mas masahol pa ay ang panukalang panseguridad na ito ay lumilikha ng isang serye ng mga hindi direktang biktima na nauuwi sa mga naka-block na NFT na hindi maaaring ibenta o ilipat. Ito ay dahil ang oras ng pagtugon para sa mga tiket na itinaas sa OpenSea ay hindi bababa sa isang araw. Sa oras na ang mga NFT ay naharang ng OpenSea, naibenta na sana sila sa isa pang mamimili na ngayon ay naging bagong biktima ng krimen.
Sa kaso ng 17 ninakaw na Azuki mula kay Arthur0x, 15 ang ninakaw sa loob ng parehong minuto at dalawa ang ninakaw makalipas ang tatlong minuto. Ang average na oras na ang mga ninakaw na NFT na ito ay nanatili sa wallet ng hacker bago sila ibenta ay 43 minuto. Ang mga hakbang sa seguridad mula sa OpenSea ay hindi tumutugon at sapat na mabilis upang ipaalam sa biktima at pigilan ang hacker; hindi rin nila maipapaalam kaagad sa mga mamimili para pigilan sila sa pagbili ng mga ninakaw na NFT at maging hindi direktang biktima.
Ang pagharang sa mga ninakaw na NFT ay lumilikha ng mga hindi direktang biktima
Ang hindi direktang biktima ay isang taong hindi target ng hack ngunit hindi direktang nagdurusa sa mga pagkalugi sa pananalapi na dulot ng pagharang sa mga ninakaw na NFT. Tulad ng nakikita mula sa maraming kamakailang NFT hacks, ang mga NFT ay palaging ibinebenta bago ang block ay ipinatupad ng OpenSea. Ang kinahinatnan ng pagharang sa mga NFT ay huli na ay lumilikha ito ng mga hindi direktang biktima at mas maraming pagkalugi para sa mas maraming tao.
Upang ilarawan nang mas detalyado kung paano maaaring bumili ang sinuman ng ninakaw na NFT at maging hindi direktang biktima ng isang hack, narito ang tatlong karaniwang kaso:
Kaso 1: Bumili si Alice ng isang NFT ngunit nalaman na lang niya na ito ay isang ninakaw na asset. Na-block ang NFT at hindi ito maibebenta o mailipat ni Alice sa OpenSea. Pagkatapos ay nagpapatuloy siya sa pagtataas ng tiket ng suporta. Pagkatapos ng ilang linggo, nag-aalok ang OpenSea Trust & Safety team na i-refund ang 2.5% na bayad sa platform; at posibleng email address ng biktima na nag-ulat ng pagnanakaw kung papalarin. Pagkatapos, malamang na magkakaroon siya ng mahabang talakayan sa biktima upang makipag-ayos sa posibilidad ng pag-angat ng bloke, na malamang na wala saanman.
Maaari pa ring ibenta ni Alice ang NFT sa ibang mga pamilihan ngunit napakababa ng dami ng mga benta para sa partikular na koleksyong ito at walang mamimili na maaaring mag-alok ng patas na presyo sa mga platform maliban sa OpenSea.
Kaso 2: Gumawa si Alice ng maraming alok habang nagbi-bid sa mga NFT mula sa isang koleksyon. Ang isa sa mga alok ay tinanggap ng hacker, na pagkatapos ay tumanggap ng bayad mula sa bid sa wallet ng biktima at nagpatuloy sa pag-clear sa wallet. Ang NFT ay hinarang sa kalaunan bilang bahagi ng mga ninakaw na ari-arian mula sa hindi awtorisadong mga transaksyon ng biktima.
Madalas mangyari ang mga ganitong kaso dahil hindi maililipat ang mga nakalistang NFT maliban kung kinansela ang listahan. Ang hacker, na nasa ilalim ng presyon ng oras, ay mas malamang na tumanggap ng isang alok sa bid at makuha ang mga nalikom mula sa pagbebenta at ilipat ang pera. Ang kaso sa ibaba ay nagpapakita kung paano ang buong koleksyon ng NFT ng hindi direktang biktima ay hinarangan ng OpenSea nang walang paliwanag.
Narito ang aking thread tungkol sa kung paano @opensea hindi makatwirang na-block ang aking account at na-freeze ang lahat ng aking NFT pagkatapos ng aking alok na 40 buwan para sa @BoredApeYC #6267 ay tinanggap.
Sa tingin ko, napakahalagang maikalat ang kasong ito sa komunidad ng NFT!
Simulan na natin ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Nobyembre 10, 2021
Kaso 3: Matagal nang nagmamay-ari si Alice ng isang NFT at bigla itong na-block at minarkahan bilang "iniulat para sa kahina-hinalang aktibidad." Ang account ng nagbebenta ay hindi nakompromiso at ang transaksyon ay nangyari kanina. Dahil walang katibayan na kinakailangan upang mag-ulat ng isang ninakaw na NFT at i-block ito, sinuman ay maaaring magpadala ng email sa anti-fraud team ng OpenSea upang harangan ang anumang NFT.
Bagama't maaaring humiling ng ulat ng pulisya sa ibang pagkakataon, walang malinaw na pahayag ang OpenSea upang tukuyin ang katibayan na kailangan upang patunayan ang pag-hack o isang kondisyon kung saan ang isang maling iniulat na ninakaw na NFT ay maaaring makilala at maalis mula sa block. Walang kahihinatnan para sa maling pag-uulat ng mga ninakaw na NFT.
Ang mga NFT ay madalas na hinaharangan nang walang paliwanag o ebidensya tulad ng mga ulat ng pulisya na ibinigay sa hindi direktang biktima. Sa teorya, ang mga NFT na ito ay maaari pa ring i-trade sa ibang mga platform, ngunit dahil sa monopolyo ng OpenSea sa marketplace, na may 95% ng kabuuang dami ng NFT trading, ang pagharang sa anumang NFT sa OpenSea ay halos katumbas ng pag-alis sa kanila sa merkado magpakailanman.
Ang pagharang sa mga NFT ay maaaring artipisyal na tumaas ang presyo
Ang panganib ng pagharang sa mga ninakaw na NFT mula sa pangangalakal sa pinakamalaking NFT platform na OpenSea ay ang permanenteng pagbawas sa supply. Batay sa batas ng supply at demand sa economics theory, kapag bumaba ang supply, tataas ang presyo.
Bilang halimbawa, ang koleksyon ng Azuki ay mayroong 10,000 NFT at sa kasalukuyan, 1,100 lang ang ibinebenta sa OpenSea. Ang Arthur0x hack ay nagresulta sa 17 na ninakaw at na-block. Bagaman ang 17 NFT ay nasa paligid lamang ng 1.5% ng 1,100 na nagpapalipat-lipat na supply, ang presyo ay nagpakita na ng isang trend ng pagtaas pagkatapos ng hack. Nangyari ang hack noong Marso 22 at ang presyo masakitin noong Marso 28 hanggang 20.96 E bago ang anunsyo ng airdrop noong Marso 31 — isang 55% na pagtaas sa loob ng isang linggo.
Bagama't hindi lahat ng 17 ninakaw na NFT ay naharang dahil nabawi ni Arthur ang ilan sa pamamagitan ng pakikipag-ayos sa mga hindi direktang biktima para bilhin sila pabalik, ang hinaharap na mga hack sa katulad na anyo ay patuloy na magaganap at ang pinagsama-samang bilang ng mga na-block na NFT ay maaari lamang tumaas habang patuloy ang mga hack at walang mga pamamaraan para i-unblock ang mga ito.
Gamit muli ang Azuki bilang halimbawa, kinokolekta ng graph sa ibaba ang makasaysayang bilang ng mga benta at average na presyo upang lumikha ng demand curve at ipinapalagay na linear ang supply curve. Ang punto kung saan nagsalubong ang mga kurba ng supply at demand ay ang presyo ng ekwilibriyo.
Habang patuloy na bumababa ang supply, ang bilis ng pagtaas ng presyo ay nagiging mas mabilis habang ang slope ng demand curve ay nagiging matarik. Ang pantay na pagbaba ng 300 NFT sa supply mula 1,000 hanggang 700 verss mula 700 hanggang 400 ay nagreresulta sa mas malaking pagtaas ng presyo para sa huli.
Gaya ng ipinapakita sa graph sa ibaba, ang presyo ay tumataas mula 15 ETH hanggang 21 ETH mula sa 1,000 hanggang 700 na pagbawas, ngunit mas tumataas mula 21 ETH hanggang 28 ETH mula sa 700 hanggang 400 na pagbawas.
Malinaw na makita na ang pagharang sa mga ninakaw na NFT ay maaaring artipisyal na tumaas ang presyo ng koleksyon. Kung nais ng isang tao na samantalahin ang butas sa sistema ng seguridad ng OpenSea sa pamamagitan ng maling pag-uulat ng maraming NFT mula sa parehong koleksyon bilang ninakaw (dahil walang kinakailangang ebidensya para mag-ulat ng mga ninakaw na NFT), maaaring tumaas nang husto ang presyo ng koleksyon kung mababa ang supply . Ang butas na ito ay maaaring lumikha ng mga pagkakataon para sa pagmamanipula ng presyo sa illiquid NFT market.
Sa anumang kaso, ang pagharang sa mga NFT ay hindi isang epektibong hakbang upang ihinto ang pag-hack o parusahan ang hacker, ngunit sa kabaligtaran, lumilikha ng higit pang mga hindi direktang biktima at butas para sa mga manipulator sa merkado. Ito ay tiyak na hindi ang paraan upang pumunta, kaya mayroon bang anumang epektibong hakbang sa seguridad?
Ang mga hakbang sa pag-iwas at isang sistemang nakabatay sa ebidensya ay kailangang maisagawa
Ang kasalukuyang sistema ng seguridad ng OpenSea ay walang mga hakbang na pang-iwas sa lugar upang maprotektahan ang mga gumagamit nang maaga. Ang lahat ng mga hakbang sa kaligtasan ay ipinatupad lamang pagkatapos ng hack, na isa sa mga pangunahing dahilan kung bakit sila ay hindi epektibo.
Batay sa mga pag-uugali ng mga hacker, ang oras ay isang mahalagang bahagi. Ang mga hakbang sa seguridad na maaaring makapagpabagal sa hacker o makapagbigay ng impormasyon sa mga biktima nang maaga ay ang mga susi upang manalo sa labanan. Narito ang ilang mas epektibong hakbang sa pag-iwas na maaaring ipatupad ng OpenSea:
- Gumawa ng isang maagang sistema ng babala na maaaring makakita ng abnormal na aktibidad ng account at magpadala ng mga instant na text message o mga alerto sa email upang ipaalam sa mga user ang naturang aktibidad upang magkaroon sila ng sapat na oras upang tumugon. Halimbawa, kung ang account ay hindi kailanman bumili o naglipat ng higit sa isang NFT sa loob ng isang minuto; o kung ang account ay hindi kailanman nagkaroon ng anumang aktibidad sa nakaraan sa isang partikular na yugto ng panahon (ibig sabihin, mga time zone kapag natutulog ang user), ang paglitaw ng mga naturang aktibidad ay matutukoy ng mga algorithm ng machine learning. Maaaring piliin ng may-ari ng account na maabisuhan kaagad, o payagan ang account na awtomatikong mai-lock para sa kaligtasan.
- Bigyan ang mga user ng opsyon na hadlangan ang maximum na bilang ng mga paglilipat o pagbebenta ng NFT na pinapayagan sa loob ng isang takdang panahon, ibig sabihin, maximum na isang paglipat o pagbebenta sa loob ng isang minuto; o isang minimum na agwat ng oras na ipinataw sa pagitan ng bawat paglipat o pagbebenta, ibig sabihin, ang susunod na paglipat o pagbebenta ay maaari lamang mangyari 15 minuto pagkatapos ng nauna. Maaaring pigilan ng mga hakbang na ito ang mga hacker na magnakaw ng malaking bilang ng mga NFT nang sabay-sabay.
- Gumawa ng mga kahina-hinalang account dashboard na nagbibigay-daan sa mga biktima na agad na magdagdag ng mga nakompromisong account at account ng hacker para sa pampublikong pagsisiyasat. Bibigyan nito ang lahat ng mamimili ng real-time na impormasyon tungkol sa mga kahina-hinalang account at ang kakayahang i-cross check kung nasa listahan ang nagbebenta bago sila bumili. Ang ebidensya tulad ng ulat ng pulisya ay maaaring hilingin sa ibang pagkakataon mula sa biktima upang patunayan na ang mga naiulat na account ay talagang nakompromiso.
Ang ilan sa mga hakbang na ito ay maaaring lumikha ng mga maling alarma at abala. Ngunit dahil ito ay isang karera ng oras laban sa hacker pagdating sa mga hakbang sa pag-iwas, ang mga gumagamit ay mas gugustuhin na maging ligtas kaysa magsisi upang maiwasang maging susunod na biktima.
Mga karaniwang maling kuru-kuro tungkol sa pag-hack ng crypto
Ang isang karaniwang maling kuru-kuro tungkol sa pag-hack ng crypto ay "hindi ito mangyayari sa akin dahil mataas ang aking kaalaman sa seguridad at gumagamit ako ng hard wallet." Maaaring totoo na ang isang direktang nakakahamak na hack ay maiiwasan sa pamamagitan ng mahusay na kasanayan sa seguridad, ngunit sinuman ay maaaring maging isang hindi direktang biktima ng isang hack na nagta-target sa ibang tao. Kapag tumaas ang bilang ng mga hack, mas mataas din ang pagkakataong maging hindi direktang biktima.
Ang isa pang maling kuru-kuro ay, "hangga't hindi ako nagtatago ng masyadong maraming pera sa aking mainit na pitaka, hindi mahalaga kung ang pitaka ay nakompromiso." Ang hindi napagtanto ng karamihan sa mga gumagamit ay ang pagkawala ng pera ay isa lamang epekto ng hack. Ang pagkawala ng Web3 wallet ay parang pagkawala mo ng buong kasaysayan ng kredito. Anumang mga benepisyo sa hinaharap batay sa mga nakaraang aktibidad tulad ng mga airdrop o pag-access sa mga pautang at leverage ay maaari ding mawala sa nakompromisong wallet.
Bagama't ang blockchain ay isa sa mga pinaka-secure na teknolohiya sa pananalapi na nilikha, ang mga nakakahamak na hack patungo sa mga platform na nakabatay sa crypto ay ang pinakamalaking banta sa pakikipagsapalaran sa Web3.
Dahil sa hindi maibabalik na katangian ng blockchain at ang kakulangan ng OpenSea sa mga hakbang sa pag-iwas sa seguridad, hindi mahirap makita ang pinakamahusay na solusyon na naisip ng OpenSea pagkatapos ng Hack sa auction ng domain ng Ethereum ay mag-alok sa hacker ng 25% na kita mula sa pagbebenta kapalit ng pagbabalik ng mga ninakaw na NFT. Sa mundo lamang ng merkado ng NFT maaaring mabigyan ng gantimpala ang isang kriminal sa halip na parusahan para sa gayong seryosong krimen.
Bilang monopolyo ng NFT market, ang OpenSea ay tiyak na makakagawa ng mas mahusay kaysa dito at mas seryosong gumawa ng mga hakbang sa seguridad at magbigay ng higit na proteksyon sa mga gumagamit nito.
Ang mga pananaw at opinyon na ipinahayag dito ay tanging ang mga may-akda at hindi kinakailangang sumalamin sa mga pananaw ng Cointelegraph.com. Ang bawat investment at trading move ay nagsasangkot ng panganib, dapat mong isagawa ang iyong sariling pananaliksik kapag gumagawa ng desisyon.
Pinagmulan: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entre-collections