Her er hvordan OpenSea NFT-hacks skader ejere, købere og endda hele samlinger

Markedet for nonfungible tokens (NFT) har boomet siden sommeren 2021, og da NFT-priserne steg i vejret, steg antallet af hacks rettet mod NFT'er også.

Det seneste højprofilerede hack sugede cirka 600 Ether (ETH) værdi af NFT'er fra Arthur0x, grundlæggeren af DeFiance Capital, som derefter blev solgt på OpenSea.

En 2022 Crypto Crime Report udgivet af Chainalysis fremhævede, at værdien, der blev sendt til NFT-markedspladser af ulovlige adresser, steg markant i 2021 og toppede med lige under $1.4 millioner. Der var også en klar stigning i stjålne midler sendt til NFT-markedspladser.

*Samlet ulovlig værdi strømmer til NFT-platforme. Kilde: Chainalysis Crypto Crime Report 2022*

I betragtning af den hurtige stigning i ulovlig værdi, der strømmer ind i NFT-platformene, er det naturligt at spørge, om sikkerhedsforanstaltninger og procedurer er på plads, og i givet fald, om disse foranstaltninger er effektive til at beskytte ejere.

Lad os tage et kig på OpenSea, den største NFT-platform, og dens sikkerhedsforanstaltninger.

Sikkerhedsforanstaltningerne hos OpenSea kan ikke beskytte brugerne

OpenSea har to hovedsikkerhedsforanstaltninger, der træder i kraft, når en konto er blevet "hacket" - låsning af den kompromitterede konto og blokering af de stjålne NFT'er. Disse to foranstaltninger er meget ineffektive, når man ser nærmere på dem.

Låsning af kontoen kan ske på OpenSeas hjemmeside uden menneskelig godkendelse som vist her, hvorimod blokering af NFT'er involverer en langvarig proces med at hæve en billet og vente på, at OpenSea-hjælpeteamet svarer.

I en situation, hvor en hacker allerede har kompromitteret tegnebogen og er i gang med at overføre NFT'erne ud, vil låsning af kontoen kun være effektiv, hvis det er gjort, før hackeren overfører alt ud.

På samme måde er blokering af NFT'erne også kun effektiv, før NFT'erne sælges til en anden køber af hackeren. Hvad der er endnu værre er, at denne sikkerhedsforanstaltning skaber en række indirekte ofre, som ender med blokerede NFT'er, som ikke kan sælges eller overføres. Dette skyldes, at responstiden for billetter hævet i OpenSea er mindst én dag. På det tidspunkt, hvor NFT'erne er blokeret af OpenSea, ville de allerede være blevet solgt til en anden køber, som nu bliver det nye offer for forbrydelsen.

I tilfældet med de 17 stjålne Azuki fra Arthur0x blev 15 stjålet inden for samme minut og to blev stjålet tre minutter senere. Den gennemsnitlige tid, disse stjålne NFT'er opholdt sig i hackerens tegnebog, før de blev solgt, er 43 minutter. Sikkerhedsforanstaltningerne fra OpenSea er på ingen måde responsive og hurtige nok til at informere offeret og stoppe hackeren; de kan heller ikke informere køberne hurtigt nok til at forhindre dem i at købe de stjålne NFT'er og blive indirekte ofre.

*Stjålet Azuki NFT'er fra Aurther0x. Kilde:* *Etherscan.io*

Blokering af stjålne NFT'er skaber indirekte ofre

Et indirekte offer er en person, der ikke er målet for hacket, men indirekte lider under de økonomiske tab forårsaget af blokeringen af de stjålne NFT'er. Som det fremgår af mange nyere NFT-hack, sælges NFT'erne altid, før blokeringen implementeres af OpenSea. Konsekvensen af at blokere NFT'erne for sent er, at det skaber indirekte ofre og flere tab for flere mennesker.

For at illustrere mere detaljeret, hvordan nogen kunne ende med at købe en stjålet NFT og blive et indirekte offer for et hack, er her tre almindelige tilfælde:

Sag 1: Alice købte en NFT, men fandt først senere ud af, at det er et stjålet aktiv. NFT er blokeret, og Alice kan ikke sælge eller overføre det på OpenSea. Hun fortsætter derefter med at rejse en støttebillet. Efter flere uger tilbyder OpenSea Trust & Safety-teamet at refundere platformsgebyrerne på 2.5 %; og muligvis e-mailadressen på offeret, der anmeldte tyveriet, hvis heldigt. Derefter vil hun sandsynligvis have en længere diskussion med offeret for at forhandle muligheden for at løfte blokken, som højst sandsynligt ikke ender nogen steder.

Alice kan stadig sælge NFT'en på andre markedspladser, men salgsvolumen er meget lav for netop denne kollektion, og der er ingen køber, der kan tilbyde en fair pris på andre platforme end OpenSea.

*OpenSeas svar til indirekte offer, der købte en stjålet NFT*

Sag 2: Alice afgav flere tilbud, mens hun bød på NFT'er fra en samling. Et af tilbuddene blev accepteret af hackeren, som derefter modtog betalingen fra buddet i offerets pung og fortsatte med at rydde ud i pungen. NFT blev senere blokeret som en del af de stjålne aktiver fra uautoriserede transaktioner fra offeret.

Tilfælde som dette sker ofte, fordi listede NFT'er ikke kan overføres, medmindre fortegnelsen annulleres. Hackeren, som er under tidspres, vil være mere tilbøjelig til at acceptere et bud og få provenuet fra salget og overføre pengene. Sagen nedenfor viser, hvordan hele det indirekte offers NFT-samling blev blokeret af OpenSea uden forklaring.

Her er min tråd om hvordan @åbnet urimeligt blokeret min konto og frosset alle mine NFT'er efter mit tilbud 40 weth for @BoredApeYC #6267 blev accepteret.
Jeg tror, det er meget vigtigt at sprede denne sag blandt NFT-samfundet!
Lad os starte ⬇️ pic.twitter.com/xnxctpzzpL
— Mpa3yka (@Mpa3yka) November 10, 2021

Sag 3: Alice har ejet en NFT i et stykke tid, og pludselig er den blokeret og markeret som "rapporteret for mistænkelig aktivitet." Sælgers konto er ikke kompromitteret, og transaktionen skete for et stykke tid siden. Da der ikke kræves bevis for at rapportere en stjålet NFT og blokere den, kan enhver sende en e-mail til OpenSeas anti-svindel-team for at blokere enhver NFT.

Selvom der kan anmodes om en politirapport senere, er der hverken en klar erklæring fra OpenSea til at specificere de nødvendige beviser for at bevise hacket eller en betingelse, hvorunder en falsk rapporteret stjålet NFT kan identificeres og løftes fra blokken. Der er ingen konsekvens for falsk rapportering af stjålne NFT'er.

NFT'er er ofte blokeret uden forklaring eller beviser, såsom politirapporter, der leveres til det indirekte offer. Teoretisk set kan disse NFT'er stadig handles på andre platforme, men givet OpenSeas monopol på markedet, med 95% af de samlede NFT-handelsvolumener, svarer blokering af enhver NFT på OpenSea næsten til at tage dem ud af markedet for altid.

Blokering af NFT'er kan kunstigt øge prisen

Faren ved at blokere stjålne NFT'er fra handel på den største NFT-platform OpenSea er den permanente reduktion i udbuddet. Baseret på loven om udbud og efterspørgsel i økonomisk teori, når udbuddet falder, stiger prisen.

Som et eksempel har Azuki-kollektionen 10,000 NFT'er, og i øjeblikket er der kun 1,100 til salg på OpenSea. Arthur0x-hacket resulterede i, at 17 blev stjålet og blokeret. Selvom 17 NFT'er kun er omkring 1.5% af det 1,100 cirkulerende udbud, har prisen allerede vist en tendens til at stige efter hacket. Hacket skete den 22. marts og prisen toppet den 28. marts til kl. 20.96 E forud for airdrop-meddelelsen den 31. marts - en stigning på 55 % inden for en uge.

*Azuki-salg og gennemsnitspris efter hacket. Kilde: OpenSea*

Selvom ikke alle de 17 stjålne NFT'er er blokeret, da Arthur formåede at genvinde nogle ved at forhandle med de indirekte ofre for at købe dem tilbage, vil fremtidige hacks i en lignende form ske kontinuerligt, og det kumulative antal blokerede NFT'er kan kun stige, efterhånden som hacks fortsætter, og ingen procedurer er på plads til at fjerne blokeringen af dem.

Ved at bruge Azuki som eksempel igen, samler grafen nedenfor det historiske antal salg og gennemsnitsprisen for at skabe en efterspørgselskurve og antager, at udbudskurven er lineær. Det punkt, hvor udbuds- og efterspørgselskurverne skærer hinanden, er ligevægtsprisen.

Da udbuddet løbende falder, bliver hastigheden af stigningen i prisen hurtigere, efterhånden som hældningen på efterspørgselskurven bliver stejlere. Et tilsvarende fald på 300 NFT'er i udbuddet fra 1,000 til 700 versus fra 700 til 400 resulterer i en større prisstigning for sidstnævnte.

Som vist i grafen nedenfor, stiger prisen fra 15 ETH til 21 ETH fra 1,000 til 700 reduktionen, men stiger mere fra 21 ETH til 28 ETH fra 700 til 400 reduktionen.

*Azukis udbuds- og efterspørgselskurve baseret på salg og priser fra OpenSea*

Det er tydeligt at se, at blokering af de stjålne NFT'er kunstigt kan øge prisen på samlingen. Hvis nogen ville drage fordel af smuthullet i OpenSea-sikkerhedssystemet ved fejlagtigt at rapportere mange NFT'er fra samme samling som stjålne (da der ikke kræves bevis for at rapportere stjålne NFT'er), kan prisen på indsamlingen stige dramatisk, hvis udbuddet er lavt. Dette smuthul kunne skabe muligheder for prismanipulation på det illikvide NFT-marked.

Under alle omstændigheder er blokering af NFT'er ikke en effektiv foranstaltning til at stoppe hacket eller straffe hackeren, men skaber tværtimod flere indirekte ofre og smuthuller for markedsmanipulatorer. Dette er bestemt ikke vejen at gå, så er der nogen effektiv sikkerhedsforanstaltning?

Forebyggende foranstaltninger og et evidensbaseret system skal være på plads

Det nuværende OpenSea-sikkerhedssystem har ingen forebyggende foranstaltninger på plads for at beskytte brugerne på forhånd. Alle sikkerhedsforanstaltninger implementeres først efter hacket, hvilket er en af hovedårsagerne til, at de er ineffektive.

Baseret på hackernes adfærd er tid en væsentlig komponent. Sikkerhedsforanstaltninger, der kan bremse hackeren eller informere ofrene tidligt, er nøglerne til at vinde kampen. Her er nogle mere effektive forebyggende foranstaltninger, der kan implementeres af OpenSea:

Opret et tidligt advarselssystem, der kan registrere unormal kontoaktivitet og sende øjeblikkelige tekstbeskeder eller e-mail-advarsler for at informere brugere om sådan aktivitet, så de har tid nok til at svare. For eksempel, hvis kontoen aldrig har købt eller overført mere end én NFT inden for et minut; eller hvis kontoen aldrig har haft nogen aktiviteter i fortiden i en bestemt tidsperiode (dvs. tidszoner, hvor brugeren sover), vil forekomsten af sådanne aktiviteter blive registreret af maskinlæringsalgoritmer. Kontohaveren kan vælge at blive informeret med det samme, eller lade kontoen låses automatisk for en sikkerheds skyld.

Giv brugerne mulighed for at begrænse det maksimale antal NFT-overførsler eller salg tilladt inden for en tidsramme, dvs. maksimalt én overførsel eller salg inden for et minut; eller et minimumstidsinterval mellem hver overførsel eller salg, dvs. den næste overførsel eller salg kan først ske 15 minutter efter det foregående. Disse foranstaltninger kan forhindre hackere i at stjæle et stort antal NFT'er på én gang.

Opret mistænkelige konto-dashboards, der giver ofre mulighed for øjeblikkeligt at tilføje kompromitterede konti og hackers konti til offentlig eftersyn. Dette vil give alle købere realtidsoplysninger om mistænkelige konti og muligheden for at krydstjekke, om sælgeren er på listen, før de køber. Beviser såsom en politirapport kan senere anmodes om fra offeret for at bevise, at de rapporterede konti faktisk er kompromitteret.

Nogle af disse foranstaltninger kan skabe falske alarmer og besvær. Men i betragtning af at det er et kapløb i tiden mod hackeren, når det kommer til forebyggende foranstaltninger, vil brugerne hellere være sikre end ked af at undgå at blive det næste offer.

Almindelige misforståelser om kryptohacking

En almindelig misforståelse om kryptohacking er, at "dette vil ikke ske for mig, fordi min sikkerhedsbevidsthed er høj, og jeg bruger en hård tegnebog." Det kan være rigtigt, at et direkte ondsindet hack kunne undgås gennem god sikkerhedspraksis, men enhver kan blive et indirekte offer for et hack rettet mod en anden. Når antallet af hacks stiger, er chancen for at blive et indirekte offer også meget højere.

En anden misforståelse er, "så længe jeg ikke har for mange penge i min varme pung, er det lige meget, om pungen er kompromitteret." Hvad de fleste brugere ikke indser, er, at pengetab kun er en konsekvens af hacket. At miste en Web3-pung er som at miste hele din kredithistorik. Eventuelle fremtidige fordele baseret på tidligere aktiviteter såsom airdrops eller adgang til lån og gearing kan også forsvinde med den kompromitterede tegnebog.

Selvom blockchain er en af de mest sikre finansielle teknologier, der nogensinde er skabt, er ondsindede hacks mod krypto-baserede platforme den største trussel mod Web3-foretagendet.

I betragtning af blockchains irreversible karakter og OpenSeas mangel på forebyggende sikkerhedsforanstaltninger, er det ikke svært at se den bedste løsning, som OpenSea kom med efter Ethereum domæne auktion hack er at tilbyde hackeren en fortjeneste på 25 % fra salget til gengæld for returnering af de stjålne NFT'er. Kun i NFT-markedets verden kan en kriminel blive belønnet i stedet for at blive straffet for en så alvorlig forbrydelse.

Som monopol på NFT-markedet kan OpenSea helt sikkert gøre det bedre end dette og tage sikkerhedsforanstaltninger mere seriøst og give mere beskyttelse til sine brugere.

De synspunkter og udtalelser, der udtrykkes her, er udelukkende forfatterens og afspejler ikke nødvendigvis synspunkterne på Cointelegraph.com. Hver investering og handelsbevægelse indebærer risiko, du bør foretage din egen forskning, når du træffer en beslutning.