Marknaden för icke-fungibla token (NFT) har blomstrat sedan sommaren 2021 och när NFT-priserna skjutit i höjden, ökade också antalet hack som riktade sig till NFT.
Det senaste högprofilerade hacket hämtade cirka 600 Ether (ETH) värde av NFT från Arthur0x, grundaren av DeFiance Capital, som sedan såldes på OpenSea.
En 2022 Crypto Crime Report publicerad av Chainalysis framhävde att värdet som skickades till NFT-marknadsplatser av otillåtna adresser ökade avsevärt 2021, och toppade på knappt 1.4 miljoner dollar. Det var också en tydlig ökning av stulna medel som skickades till NFT-marknadsplatser.
Med tanke på den oroande snabba ökningen av olagligt värde som strömmar in i NFT-plattformarna är det naturligt att fråga sig om säkerhetsåtgärder och rutiner finns på plats och i så fall om dessa åtgärder är effektiva för att skydda ägare.
Låt oss ta en titt på OpenSea, den största NFT-plattformen, och dess säkerhetsåtgärder.
Säkerhetsåtgärderna hos OpenSea kan inte skydda användare
OpenSea har två huvudsakliga säkerhetsåtgärder som slår in när ett konto har "hackats" - låsa det inträngda kontot och blockera de stulna NFT:erna. Dessa två åtgärder är mycket ineffektiva när man tittar närmare på dem.
Låsning av kontot kan göras på OpenSeas webbplats utan mänskligt godkännande som visas här, medan blockering av NFTs innebär en lång process för att höja en biljett och vänta på att OpenSeas hjälpteam ska svara.
I en situation där en hackare redan har äventyrat plånboken och är i färd med att överföra NFT:erna ut, kommer låsning av kontot endast att vara effektivt om det görs innan hackaren överför allt.
På samma sätt är blockering av NFT:erna också endast effektiv innan NFT:erna säljs till en annan köpare av hackaren. Vad som är ännu värre är att denna säkerhetsåtgärd skapar en serie indirekta offer som slutar med blockerade NFT:er som inte kan säljas eller överföras. Det beror på att svarstiden för biljetter som samlas in i OpenSea är minst en dag. När NFT:erna blockeras av OpenSea skulle de redan ha sålts till en annan köpare som nu blir det nya offret för brottet.
I fallet med de 17 stulna Azuki från Arthur0x, stals 15 inom samma minut och två stals tre minuter senare. Den genomsnittliga tiden dessa stulna NFT:er stannade i hackarens plånbok innan de såldes är 43 minuter. Säkerhetsåtgärderna från OpenSea är inte på något sätt responsiva och snabba nog för att informera offret och stoppa hackaren; De kan inte heller informera köparna tillräckligt snabbt för att hindra dem från att köpa de stulna NFT:erna och bli indirekta offer.
Blockering av stulna NFT:er skapar indirekta offer
Ett indirekt offer är någon som inte är målet för hacket utan indirekt lider av de ekonomiska förluster som orsakas av blockeringen av de stulna NFT:erna. Som framgår av många nya NFT-hack säljs NFT alltid innan blockeringen implementeras av OpenSea. Konsekvensen av att blockera NFT för sent är att det skapar indirekta offer och fler förluster för fler människor.
För att illustrera mer i detalj hur någon kan sluta köpa en stulen NFT och bli ett indirekt offer för ett hack, här är tre vanliga fall:
Fallet 1: Alice köpte en NFT men fick först senare reda på att det är en stulen tillgång. NFT är blockerad och Alice kan inte sälja eller överföra den på OpenSea. Hon fortsätter sedan med att samla in en stödbiljett. Efter flera veckor erbjuder OpenSea Trust & Safety-teamet att återbetala plattformsavgifterna på 2.5 %; och eventuellt e-postadressen till offret som anmälde stölden om man har tur. Sedan kommer hon sannolikt att ha en lång diskussion med offret för att förhandla fram möjligheten att lyfta blocket, vilket med största sannolikhet inte kommer att hamna någonstans.
Alice kan fortfarande sälja NFT på andra marknadsplatser men försäljningsvolymen är mycket låg för just denna kollektion och det finns ingen köpare som kan erbjuda ett rimligt pris på andra plattformar än OpenSea.
Fallet 2: Alice gjorde flera erbjudanden medan hon budade på NFT från en samling. Ett av erbjudandena accepterades av hackaren, som sedan fick betalningen från budet i offrets plånbok och fortsatte med att rensa ut plånboken. NFT blockerades senare som en del av de stulna tillgångarna från otillåtna transaktioner av offret.
Fall som detta händer ofta eftersom listade NFT:er inte kan överföras om inte noteringen avbryts. Hackaren, som är under tidspress, kommer att vara mer benägen att acceptera ett bud och få intäkterna från försäljningen och överföra pengarna. Fallet nedan visar hur det indirekta offrets hela NFT-samling blockerades av OpenSea utan förklaring.
Här är min tråd om hur @öppet hav orimligt blockerat mitt konto och fryst alla mina NFTs efter mitt erbjudande 40 weth för @BoredApeYC #6267 accepterades.
Jag tror att det är väldigt viktigt att sprida detta fall bland NFT-gemenskapen!
Låt oss börja ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) November 10, 2021
Fallet 3: Alice har ägt en NFT ganska länge och plötsligt blockeras den och markeras som "rapporterad för misstänkt aktivitet." Säljarens konto har inte äventyrats och transaktionen skedde för ett tag sedan. Eftersom det inte krävs några bevis för att rapportera en stulen NFT och blockera den, kan vem som helst skicka ett e-postmeddelande till OpenSeas anti-bedrägeriteam för att blockera alla NFT.
Även om en polisanmälan kan begäras senare, finns det varken ett tydligt uttalande från OpenSea för att specificera de bevis som behövs för att bevisa hacket eller ett villkor under vilket en felaktigt rapporterad stulen NFT kan identifieras och lyftas från blocket. Det finns ingen konsekvens för att felaktigt rapportera stulna NFT:er.
NFT:er blockeras ofta utan förklaring eller bevis såsom polisrapporter som tillhandahålls det indirekta offret. Teoretiskt sett kan dessa NFT:er fortfarande handlas på andra plattformar, men med tanke på OpenSeas monopol på marknaden, med 95 % av de totala NFT-handelsvolymerna, är blockering av NFT på OpenSea nästan lika med att ta dem bort från marknaden för alltid.
Att blockera NFT:er kan på konstgjord väg höja priset
Faran med att blockera stulna NFT:er från handel på den största NFT-plattformen OpenSea är den permanenta minskningen av utbudet. Baserat på lagen om utbud och efterfrågan i ekonomisk teori, när utbudet sjunker, stiger priset.
Som ett exempel har Azuki-kollektionen 10,000 1,100 NFT och för närvarande är endast 0 17 till försäljning på OpenSea. Arthur17x-hacket resulterade i att 1.5 blev stulna och blockerade. Även om 1,100 NFT bara är cirka 22 % av det XNUMX XNUMX cirkulerande utbudet, har priset redan visat en trend att öka efter hacket. Hacket skedde den XNUMX mars och priset spetsig den 28 mars till 20.96 E före tillkännagivandet om luftsläpp den 31 mars — en ökning med 55 % inom en vecka.
Även om inte alla av de 17 stulna NFT:erna är blockerade eftersom Arthur lyckades återvinna några genom att förhandla med de indirekta offren för att köpa tillbaka dem, kommer framtida hacks i liknande form att ske kontinuerligt och det kumulativa antalet blockerade NFT:er kan bara öka när hackningarna fortsätter och inga rutiner finns på plats för att avblockera dem.
Med Azuki som exempel igen, samlar grafen nedan in det historiska antalet försäljningar och det genomsnittliga priset för att skapa en efterfrågekurva och antar att utbudskurvan är linjär. Den punkt där utbuds- och efterfråganskurvorna skär varandra är jämviktspriset.
Eftersom utbudet kontinuerligt minskar, blir prisökningshastigheten snabbare när lutningen på efterfrågekurvan blir brantare. En lika stor minskning med 300 NFT i utbudet från 1,000 700 till 700 mot från 400 till XNUMX resulterar i en större prisökning för de senare.
Som visas i grafen nedan ökar priset från 15 ETH till 21 ETH från 1,000 700 till 21 minskningen, men ökar mer från 28 ETH till 700 ETH från 400 till XNUMX sänkningen.
Det är tydligt att blockera de stulna NFT:erna på konstgjord väg kan öka priset på samlingen. Om någon ville dra fördel av kryphålet i OpenSeas säkerhetssystem genom att felaktigt rapportera många NFT från samma samling som stulna (eftersom inga bevis krävs för att rapportera stulna NFT), kan priset på insamlingen öka dramatiskt om utbudet är lågt . Detta kryphål kan skapa möjligheter för prismanipulation på den illikvida NFT-marknaden.
Att blockera NFT:er är i alla fall ingen effektiv åtgärd för att stoppa hacket eller straffa hackaren, utan skapar tvärtom fler indirekta offer och kryphål för marknadsmanipulatorer. Detta är verkligen inte rätt väg att gå, så finns det någon effektiv säkerhetsåtgärd?
Förebyggande åtgärder och ett evidensbaserat system måste finnas på plats
Det nuvarande säkerhetssystemet OpenSea har inga förebyggande åtgärder för att skydda användare i förväg. Alla säkerhetsåtgärder implementeras först efter hacket, vilket är en av huvudorsakerna till att de är ineffektiva.
Baserat på hackarnas beteende är tid en viktig komponent. Säkerhetsåtgärder som kan bromsa hackaren eller informera offren tidigt är nycklarna till att vinna striden. Här är några mer effektiva förebyggande åtgärder som kan implementeras av OpenSea:
- Skapa ett tidigt varningssystem som kan upptäcka onormal kontoaktivitet och skicka snabbmeddelanden eller e-postvarningar för att informera användare om sådan aktivitet så att de har tillräckligt med tid att svara. Till exempel, om kontot aldrig har köpt eller överfört mer än en NFT inom en minut; eller om kontot aldrig har haft några aktiviteter tidigare under en specifik tidsperiod (dvs. tidszoner när användaren sover), kommer förekomsten av sådana aktiviteter att upptäckas av maskininlärningsalgoritmer. Kontoinnehavaren kan välja att bli informerad omedelbart, eller låta kontot låsas automatiskt för säkerhets skull.
- Ge användare möjlighet att begränsa det maximala antalet NFT-överföringar eller försäljningar som är tillåtna inom en tidsram, dvs. högst en överföring eller försäljning inom en minut; eller ett minsta tidsintervall mellan varje överföring eller försäljning, dvs nästa överföring eller försäljning kan bara ske 15 minuter efter den föregående. Dessa åtgärder kan förhindra hackare från att stjäla ett stort antal NFTs på en gång.
- Skapa instrumentpaneler för misstänkta konton som gör det möjligt för offer att omedelbart lägga till intrångade konton och hackers konton för offentlig granskning. Detta kommer att ge alla köpare realtidsinformation om misstänkta konton och möjligheten att krysskolla om säljaren finns på listan innan de köper. Bevis som en polisanmälan kan begäras senare från offret för att bevisa att de rapporterade kontona verkligen är komprometterade.
Vissa av dessa åtgärder kan skapa falska larm och olägenheter. Men med tanke på att det är ett lopp mot hackern när det gäller förebyggande åtgärder, skulle användarna hellre vara säkra än ledsna för att undvika att bli nästa offer.
Vanliga missuppfattningar om kryptohackning
En vanlig missuppfattning om kryptohackning är att "det här kommer inte att hända mig eftersom min säkerhetsmedvetenhet är hög och jag använder en hård plånbok." Det kan vara sant att ett direkt skadligt hack kan undvikas genom god säkerhetspraxis, men vem som helst kan bli ett indirekt offer för ett hack som riktar sig mot någon annan. När antalet hacks ökar är chansen att bli ett indirekt offer också mycket högre.
En annan missuppfattning är, "så länge jag inte har för mycket pengar i min heta plånbok spelar det ingen roll om plånboken äventyras." Vad de flesta användare inte inser är att monetära förluster bara är en följd av hacket. Att förlora en Web3-plånbok är som att förlora hela din kredithistorik. Eventuella framtida fördelar baserade på tidigare aktiviteter såsom airdrops eller tillgång till lån och hävstång kan också försvinna med den komprometterade plånboken.
Även om blockchain är en av de säkraste finansiella teknologierna som någonsin skapats, är skadliga hacks mot kryptobaserade plattformar det största hotet mot Web3-satsningen.
Med tanke på blockchains oåterkalleliga natur och OpenSeas brist på förebyggande säkerhetsåtgärder är det inte svårt att se den bästa lösningen som OpenSea kom fram till efter Ethereum-domänauktionshack är att erbjuda hackaren en vinst på 25 % från försäljningen i utbyte mot att de stulna NFT:erna återlämnas. Endast i NFT-marknadens värld kan en brottsling belönas snarare än straffas för ett så allvarligt brott.
Som monopol på NFT-marknaden kan OpenSea säkert göra bättre än så här och ta säkerhetsåtgärder på större allvar och ge mer skydd till sina användare.
Synpunkterna och åsikterna som uttrycks här är enbart författarens och återspeglar inte nödvändigtvis synpunkter från Cointelegraph.com. Varje investering och handel flyttar innebär risk, du borde göra din egen forskning när du fattar ett beslut.
Källa: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections