NFT-tyverier rammer nyhederne. Her hvordan du kan beskytte dig selv, siger Indrė Viltrakytė, medstifter af Oprørerne.
Phishing-angreb er ikke nyt. Nogle gange er de nemme at få øje på. Som når opfordringerne kommer med en anmodning om at sende dine bankoplysninger til en prins fra et fjerntliggende fremmed land. Men nogle gange er de sværere at få øje på. Som når en anmodning om at godkende frigivelsen af dine aktiver kommer fra en tilsyneladende troværdig kilde.
Dette er, hvad der skete for nylig i en NFT-phishing-tyverisag. Brugere stolede på en ordning, der involverede Premint platform. Brugerne accepterede en prompt om at godkende en ukendt enhed til at kontrollere deres aktiver.
Den 17. juli 2022 blev en populær NFT-platform, Premint NFT, hacket. 314 NFT'er til en værdi af $430,000 blev stjålet. Gerningsmændene var i stand til at plante ondsindet kode på Premints officielle hjemmeside. Koden instruerede brugere om at "indstille godkendelser for alle", når de tilsluttede deres digitale tegnebøger til webstedet. Dette gjorde det muligt for angriberne at få adgang til deres kryptoaktiver og stjæle deres NFT'er.
Den nye verden af NFT'er - digital kunstsamling - kan stå i kø for flere phishing-angreb.
NFT-tyveri: Hvad bliver der stjålet?
Når vi hører ordet NFT, tænker vi typisk på et digitalt billede, der er unikt og forbundet med blockchain. Det er dog mere omfattende end som så. Når man taler om NFT'er, er ejerskabssporingen og unikheden altid fremhævet. Men ingen steder i NFT-standarden står der, hvad de unikke tokens repræsenterer. I sin essens er tokens kun unikke numre. Det er forfatterne af NFT-samlingen, der definerer, hvad disse tokens repræsenterer.
Desuden bliver billeder normalt aldrig "uploadet til krypto tegnebog." De er ikke en del af NFT-kontrakten. En hash af billedet kan skrives ind i kontrakten for at skabe en forbindelse med den ting, som NFT repræsenterer. NFT som standard bekymrer sig heller ikke om værdien eller køb og salg af NFT'erne. Det leverer kun standardmetoder til at overføre NFT-ejerskabet. Det er markedspladserne og samfundet, der bygger ovenpå og behandler NFT'erne som merchandise.
Som merchandise købes NFT'er for det meste som samleobjekter, ofte brugt til investeringsformål. De har først for nylig udviklet praktiske use cases. Et eksempel er digitale modetøj i Metaverset.
Hvad kan der gøres i fremtiden?
Hvem har skylden? Er det brugeren? Eller platformen, som gjorde det muligt for en hacker at indlede en svigagtig transaktion?
I dette særlige tilfælde var angriberne i stand til at vise indhold for at narre brugeren til at underskrive den svigagtige transaktion.
En vag, plausibelt klingende årsag til transaktionen i kombination med tillid til hjemmesiden var nok til at narre mange. Når det er sagt, er det urimeligt at forvente, at den gennemsnitlige Web3-bruger kan undvære det. De fleste havde ikke en stærk nok teknisk baggrund til at bemærke, at transaktionen faktisk gav nogen adgang til hans eller hendes NFT'er.
Det er muligt at narre brugere til at underskrive transaktioner, hvis det er initieret af et pålideligt websted. Aktiverne i brugernes tegnebøger er kun så sikre som ALLE de decentrale applikationer (dapps), som brugeren interagerer med tilsammen. Identiske sager vil sandsynligvis ske i fremtiden.
Vejene sikkerhed kan forbedres:
1. Tegnebøger kunne vise mere menneskeorienteret information for kendte kontraktinteraktionstyper. For eksempel en stor rød besked, der siger: "Hey, du giver nogen kontrol over alle dine NFT'er!" Det ville være meget bedre end den nuværende "SET APPROVAL FOR ALL" i gråt i MetaMasks transaktionsbekræftelsesvindue.
2. Hjemmesider kunne liste og offentliggøre de kontraktinteraktioner, som de måtte igangsætte. Udbyderne kan lide MetaMask kunne afvise enhver ikke-standard transaktion.
NFT-tyveri: Hvordan kan brugere beskytte sig selv
– Gennemgå transaktionsoplysningerne, før du underskriver. Dette vil ikke beskytte brugeren 100 % af tiden. Men at gennemgå hvilken metode på hvilken kontrakt er afgørende.
– Adskil NFT'er (og andre kryptoaktiver) i flere tegnebøger. Hvis brugerne bliver narret til at give nogen kontrol over deres aktiver i en pung, i det mindste er aktiverne i andre tegnebøger sikre. Dette er så længe du ikke deler din private nøgle eller frøsætningen.
– Brug forskellige tegnebøger til forskellige dapps. Det er ikke altid praktisk at gøre det, når dappen er beregnet til at interagere med andre aktiver i tegnebogen. Det er dog vigtigt at prøve kun at beholde det, der er relevant.
Om forfatteren
Indrė Viltrakytė er medstifter af Web3-modesatsningen Oprørerne. Den har 10101 unikke karakterer baseret på den kontroversielle "Jesus, Maria"-annoncekampagne. Kampagnen blev forbudt, men fandt senere retfærdighed i Den Europæiske Menneskerettighedsdomstol, som dømte til fordel for mærket. Sagen er nu afholdt som præcedens i sager vedrørende ytringsfrihed i EU. Indrė Viltrakytė har 10+ års erfaring i modebranchen.
Har du noget at sige om NFT-tyverier eller noget andet? Skriv til os eller deltag i diskussionen i vores Telegram kanal. Du kan også fange os Tik Tok, Facebook eller Twitter.
Ansvarsfraskrivelse
Alle oplysninger på vores websted offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, som læseren foretager sig på oplysningerne på vores websted, er strengt på deres egen risiko.
Kilde: https://beincrypto.com/nft-heists-attacks-many-to-come/