NFT-rån slår till på nyheterna. Här hur du kan skydda dig, säger Indra Viltrakytė, medgrundare av Rebels.
Nätfiskeattacker är inget nytt. Ibland är de lätta att upptäcka. Som när uppmaningarna kommer med en förfrågan om att skicka din bankinformation till en prins från ett långt borta främmande land. Men ibland är de svårare att upptäcka. Som när en begäran om att godkänna frigivningen av dina tillgångar kommer från en till synes pålitlig källa.
Detta är vad som hände nyligen i ett fall med NFT-nätfiske. Användare litade på ett system som involverade Premint plattform. Användarna gick med på en uppmaning att godkänna en okänd enhet att kontrollera sina tillgångar.
Den 17 juli 2022 hackades en populär NFT-plattform, Premint NFT. 314 NFTs värda $430,000 XNUMX stals. Gärningsmän kunde plantera skadlig kod på Premints officiella hemsida. Koden instruerade användare att "ställa in godkännanden för alla" när de ansluter sina digitala plånböcker till webbplatsen. Detta gjorde det möjligt för angriparna att komma åt sina kryptotillgångar och stjäla deras NFT.
Den nya världen av NFTs – digital konstsamling – kan stå i kö för fler nätfiskeattacker.
NFT-rån: Vad är det som stjäls?
Vanligtvis när vi hör ordet NFT tänker vi på en digital bild som är unik och kopplad till blockkedjan. Det är dock mer utarbetat än så. När man talar om NFT:er är ägarspårningen och unikheten alltid accentuerad. Men ingenstans i NFT-standarden står det vad de unika tokens representerar. I sin essens är tokens bara unika nummer. Det är författarna till NFT-samlingen som definierar vad dessa tokens representerar.
Dessutom ”läggs bilder vanligtvis aldrig upp i krypto plånbok.” De är inte en del av NFT-kontraktet. En hash av bilden kan skrivas in i kontraktet för att skapa en koppling till det som NFT representerar. Dessutom bryr sig NFT som standard inte om värdet eller köp- och säljverksamheten för NFT:erna. Den tillhandahåller bara standardmetoder för att överföra NFT-äganderätten. Det är marknadsplatserna och samhället som bygger på det och behandlar NFT som varor.
Som varor köps NFTs mestadels som samlarobjekt, ofta används för investeringsändamål. De har utvecklat praktiska användningsfall först nyligen. Ett exempel är digitala modekläder i Metaversen.
Vad kan göras i framtiden?
Vem är skyldig? Är det användaren? Eller plattformen som gjorde det möjligt för en angripare att initiera en bedräglig transaktion?
I det här specifika fallet kunde angriparna visa innehåll för att lura användaren att underteckna den bedrägliga transaktionen.
En vag, rimligt klingande anledning till transaktionen i kombination med förtroende för webbplatsen var tillräckligt för att lura många. Som sagt, det är orimligt att förvänta sig att den genomsnittliga Web3-användaren skulle kunna gå utanför det. De flesta hade inte tillräckligt stark teknisk bakgrund för att märka att transaktionen faktiskt gav någon tillgång till hans eller hennes NFT.
Det är möjligt att lura användare att signera transaktioner om det initieras av en betrodd webbplats. Tillgångarna i användarnas plånböcker är bara lika säkra som ALLA decentraliserade applikationer (dapps) som användaren interagerar med tillsammans. Samma fall kommer sannolikt att inträffa i framtiden.
Vägarna säkerhet kan förbättras:
1. Plånböcker kan visa mer mänskligt orienterad information för kända kontraktsinteraktionstyper. Till exempel, ett stort rött meddelande som säger: "Hej, du ger någon kontroll över alla dina NFTs!" Det skulle vara mycket bättre än det nuvarande "SET APPROVAL FOR ALL" i grått i MetaMasks transaktionsbekräftelsefönster.
2. Webbplatser kan lista och publicera de kontraktsinteraktioner som de kan initiera. Leverantörerna gillar MetaMask skulle kunna vägra alla icke-standardiserade transaktioner.
NFT heists: Hur kan användare skydda sig själva
– Granska transaktionsdetaljerna innan du signerar. Detta skyddar inte användaren 100 % av tiden. Men att se över vilken metod på vilket kontrakt är avgörande.
– Separera NFT:er (och andra kryptotillgångar) i flera plånböcker. Om användarna luras att ge någon kontroll över sina tillgångar i ett plånbok, åtminstone tillgångarna i andra plånböcker är säkra. Detta är så länge du inte delar din privata nyckel eller fröfrasen.
– Använd olika plånböcker för olika dapps. Det är inte alltid praktiskt att göra det när dapp är tänkt att interagera med andra tillgångar i plånboken. Det är dock viktigt att försöka behålla bara det som är relevant.
Om författaren
Indrė Viltrakytė är medgrundare av modesatsningen Web3 Rebels. Den har 10101 unika karaktärer baserade på den kontroversiella annonskampanjen "Jesus, Maria". Kampanjen förbjöds men fann senare rättvisa i Europeiska domstolen för mänskliga rättigheter, som dömde till förmån för varumärket. Fallet hålls nu som ett prejudikat i mål som rör yttrandefriheten i EU. Indrė Viltrakytė har 10+ års erfarenhet inom modebranschen.
Har du något att säga om NFT-rån eller något annat? Skriv till oss eller gå med i diskussionen i vår Telegramkanal. Du kan också fånga oss Tik Tok, Facebook, eller Twitter.
Villkor
All information på vår webbplats publiceras i god tro och endast för allmän information. Alla åtgärder som läsaren vidtar på informationen på vår webbplats är strikt på deras egen risk.
Källa: https://beincrypto.com/nft-heists-attacks-many-to-come/