NFTs: New Fraud Targets

Automatiseringen av bedrägerier kräver bättre försvar, till att börja med digital identitet.

Jag köpte en icke-fungibel token (NFT) häromdagen. Jag köpte den på OpenSea, en av de stora NFT-marknadsplatserna. Om du är intresserad av konst är det en tecknad serie från den begåvade konstnären Helen Holmes. Om du är intresserad av spekulationer är det den här jag köpte. Det är från hennes "original"-samling och visas nu stolt i min crypto.com-plånbok för alla att se.

Jag gav Helen i uppdrag att rita teckningarna som jag använder för att illustrera mina artiklar här, så jag vet med säkerhet att hon är äkta, att teckningarna är original skapade av henne och att jag har rätt att använda dem på grund av vårt eget avtal. Och, jag är glad att kunna säga, att om någon köper en av hennes NFT:s, går pengarna till henne, den förtjänta artisten. Som det visar sig gör detta "min" NFT till ett av det lilla antalet legitima exempel av några, för förra månaden sa OpenSea att över 80 % av de NFT som skapats gratis på plattformen är "plagierade verk, falska samlingar och spam".

(Jag säger "min" NFT, även om jag äger en NFT ger mig inga rättigheter i den underliggande immateriella egendomen, som fortfarande tillhör Helen, eller unik tillgång till själva bilden som vem som helst kan ladda ner bara genom att högerklicka på bilden ovan.)

Även NFT:er som inte är förfalskningar och bedrägerier är ofta minst sagt tvivelaktiga. Jag inkluderar i denna kategori NFT av en röntgenbild av en av de överlevande från Bataclan-massakerne i Paris, som erbjöds till försäljning av kirurgen som behandlade henne! Och det här har inte med OpenSea att göra, det har med hela marknaden att göra.

Egentligen är "marknad" förmodligen fel ord, eftersom en nyligen genomförd studie hittade det "de översta 10% av handlarna ensam utför 85% av alla transaktioner och handlar minst en gång 97% av alla tillgångar". Om man tittar på siffrorna är de 10 procenten av "köpare-säljarepar" lika aktiva som alla andra tillsammans. Det är en lekplats nästan helt fångad av valar.

När plattformen som sålde NFT av Jack Dorseys första tweet någonsin för tre miljoner amerikanska dollar stoppar de flesta transaktioner eftersom förfalskade skapare sålde tokens av innehåll som inte tillhörde dem, då tror jag att vi alla kan vara överens om att det finns ett grundläggande problem med handel med digitala tillgångar.

Innovation

Det ser ut som om NFT tillhandahåller en plattform för innovation inom bedrägeri såväl som innovation i kreativa verk. En av de vanligaste typerna är det som kallas "wash trading", där grupper av bedragare handlar en NFT sinsemellan, för ett allt högre pris, tills någon som inte ingår i gruppen och som tror att priset är verkligt. (i vardagligt engelska investment banking-språk, sådana individer är kända som "mug punters") kliver in för att köpa "konsten". Då delade gruppen intäkterna mellan sig, sköljde och upprepade.

(Detta bedrägeri, där säljarna är båda sidor av försäljningen, frodas. Och det handlar inte bara om några kryptobror som plundrar från allmänheten genom att falskt blåsa upp värdet på NFT:er. Det amerikanska finansdepartementet har redan uttryckt oro över att aktiviteten skulle kunna användas för pengatvätt.)

OpenSea blev nyligen omkörd i volym av LooksRare. LooksRare belönar användare ekonomiskt för deras handelsvolym, vilket förutsägbart innebär att skurkar spelar systemet. Kryptoanalysföretaget CryptoSlam uppskattade det cirka 87 procent av den totala handelsvolymen sedan lanseringen är i själva verket tvätthandel.

(Tvätta handel med NFTs, enligt en detaljerad Kedjelysstudie i frågan, har en intressant asymmetri: De flesta handlare har varit olönsamma, men de framgångsrika har tjänat så mycket att gruppen som helhet har tjänat enormt.)

Efter att ha sagt att NFT är en plattform för innovation inom bedrägeri, är jag tvungen att erkänna att jag ibland beundrar uppfinningsrikedomen hos några av kryptohackarna/exploatörerna som har fått arbete i denna nya värld. Ta till exempel OpenSea "kryphål" som utnyttjades eftersom vissa NFT-ägare inte var medvetna om att deras gamla försäljningslistor fortfarande var aktiva. Dessa gamla listor hittades och NFT:erna köptes. Detta ledde till förlusten av flera dyra NFT:er till bottenpriser. 

(Problemet var att NFT:erna såldes till gamla erbjudanden som gjordes när NFT:erna var mycket mindre värda. För att ge ett specifikt exempel, en angripare betalade totalt $133,000 XNUMX för sju NFT:er innan de snabbt sålde vidare för 934,000 XNUMX USD i ETH. Fem timmar senare skickades de illa tagna vinsterna via Tornado Cash, en "blandningstjänst" som används för att förhindra blockchain-spårning av medel.)

Som Tom Robinson från blockchain-analysföretaget Elliptic förklarade, detta geniala (även om jag måste säga, inte så komplext) bedrägeri ledde sedan till ännu mer bedrägeri eftersom OpenSea skickade ett e-postmeddelande till användare som fortfarande hade gamla NFT-listor och därför var mottagliga för detta bedrägeri. Men att avbryta den gamla noteringen krävde en ETH-transaktion så de driftiga frilansande alternativfinansentusiasterna bakom det ursprungliga bedrägeriet skapade sedan bots för att hålla utkik efter just dessa transaktioner och köra dem i förväg för att köpa NFT:erna innan noteringen avbröts.

(Med andra ord, genom att försöka vara hjälpsam och berätta för användarna att avbryta de sårbara listorna, gav marknadsplatsen bort exakt den information som gärningsmännen behöver för att automatisera sina attacker.)

Skala och omfattning

Alla bedrägerier är inte särskilt komplexa. Väldigt mycket pengar har gått förlorade på mycket grundläggande bedrägerier som "rug pull", där innovativa kryptovalutaingenjörer tillkännager lanseringen av en fantastisk ny digital tillgång som kommer att göra fantastiska saker i framtiden, öka 100 gånger i värde på nästan ingen tid och bota cancer på väg. Allmänheten svarar med entusiasm och översvämmar emittenterna med kontanter, varvid emittenterna försvinner och raderar deras webbplats, Telegram-chatt och falska LinkedIn-profiler på vägen. Allmänheten släpper ut de virtuella katterna ur de virtuella påsarna och upptäcker att de inte har någonting kvar.

(MonkeyJizz var en bluff! Vem visste!)

Det finns dock bedrägerier som drar mer nytta av den nya infrastrukturens karaktär. "Honeypot" är ett sådant exempel. I en honungskruka infogar programmeraren för de smarta kontrakten som styr en ny token bakdörrskod för att säkerställa att bara deras egen plånbok faktiskt kan sälja! Alla andra som köper tokens upptäcker att deras pengar har fastnat i honungskrukan medan bedragaren som skapade det smarta kontraktet kan ta ut pengar när som helst.

Omnämnandet av honungskrukor tar oss in på nya områden. Många av de mest anmärkningsvärda bedrägerierna som finns i överflöd involverar decentraliserad finansiering, eller DeFi, projekt med mer än 10 miljarder dollar förlorade på DeFi-stöld och bedrägeri, som en elliptisk rapport från november visar. Och detta är bara början enligt min mening, eftersom förmågan att automatisera bedrägerier i DeFi-utrymmet är en fascinerande och skrämmande utveckling.

(Automatiskt bedrägeri är naturligtvis inte begränsat till webb3-världen. PayPal stängde nyligen 4.5 miljoner konton och sänkte sin prognos för nya kunder efter att ha upptäckt att botfarmar utnyttjade dess incitament. De hade erbjudit 10 USD som ett incitament för att öppna nya konton, kl. vilken punkt bots började bearbeta PayPal-fälten istället för människor. Som jag konsekvent har hävdat kommer IS-A-PERSON-uppgifterna en dag att vara den mest värdefulla referensen av alla.)

När det kommer till web3 är skärningspunkten mellan smarta kontrakt fulla av programmeringsfel, kryptovalutor och anonymitet en helt ny spelplan för bedragare, terrorister och skojare. Kombinationen av automation och komplexitet är giftig och måste åtgärdas i förväg. Jag hatar att säga det igen, men vägen framåt är genom en fungerande, ändamålsenlig 21-talets digitala identitetsinfrastruktur. Kanske DeFi (som bygger på verifierbara referenser och noll-kunskapsbevis), snarare än CeFi (utgår från federerade identiteter och delade attribut), kan kickstarta en identitetsinfrastruktur som i sin tur kommer att bli dess bestående arv.