NFT'er: New Fraud Targets

Automatiseringen af ​​svindel kræver bedre forsvar, begyndende med digital identitet.

Jeg købte en ikke-fungibel token (NFT) den anden dag. Jeg købte den på OpenSea, en af ​​de store NFT-markedspladser. Hvis du er interesseret i kunst, er det en tegneserie fra den talentfulde kunstner Helen Holmes. Hvis du er interesseret i spekulationer, er det denne, jeg har købt. Det er fra hendes "original"-samling og er nu stolt udstillet i min crypto.com-pung, så alle kan se.

Jeg bestilte Helen til at tegne de tegnefilm, som jeg bruger til at illustrere mine artikler her, så jeg ved med sikkerhed, at hun er ægte, at tegnefilmene er originaler skabt af hende, og at jeg har ret til at bruge dem på grund af vores egen aftale. Og jeg er glad for at kunne sige, at hvis nogen køber en af ​​hendes NFT'er, går pengene til hende, den fortjente kunstner. Som det viser sig, gør dette "min" NFT til et af det lille antal legitime eksempler på nogle, for sidste måned sagde OpenSea, at over 80 % af de NFT'er, der er oprettet gratis på platformen, er "plagierede værker, falske samlinger og spam".

(Jeg siger "min" NFT, selvom jeg ejer en NFT giver mig ingen rettigheder i den underliggende intellektuelle ejendom, som stadig tilhører Helen, eller unik adgang til selve billedet, som alle kan downloade ved blot at højreklikke på billedet ovenfor.)

Selv de NFT'er, der ikke er forfalskninger og bedragerier, er mildest talt ofte risikable. Jeg inkluderer i denne kategori NFT af et røntgenbillede af en af ​​de overlevende fra Bataclan-massakrene i Paris, som blev udbudt til salg af kirurgen, der behandlede hende! Og dette har ikke noget med OpenSea at gøre, det er noget med hele markedet.

Faktisk er "marked" nok det forkerte ord, fordi en nylig undersøgelse fandt det "de øverste 10% af handlende alene udfører 85% af alle transaktioner og handler mindst én gang 97% af alle aktiver". Ser man på tallene, er de øverste 10 procent af "køber-sælger-par" lige så aktive som alle andre tilsammen. Det er en legeplads næsten fuldstændig fanget af hvaler.

Når platformen, der solgte NFT af Jack Dorseys første tweet nogensinde for tre millioner amerikanske dollars, standser de fleste transaktioner, fordi forfalskede skabere solgte tokens af indhold, som ikke tilhørte dem, så tror jeg, vi alle kan blive enige om, at der er et grundlæggende problem med handel med digitale aktiver.

Innovation

Det ser ud som om NFT'er giver en platform for innovation inden for bedrageri såvel som innovation i kreative værker. En af de mest almindelige former er det, der er kendt som "wash trading", hvor grupper af svindlere handler en NFT indbyrdes til en stadig højere pris, indtil en person, der ikke er en del af gruppen, og som tror, ​​at prisen er reel (i dagligdags engelsk investeringsbanksprog, er sådanne personer kendt som "krus-spillere") træder ind for at købe "kunsten". På hvilket tidspunkt delte gruppen indtægterne mellem sig, skyl og gentag.

(Denne svindel, hvor sælgerne er begge sider af salget, er udbredt. Og det handler ikke kun om nogle kryptobroer, der plyndrer fra offentligheden ved falsk at puste værdien af ​​NFT'er op. Det amerikanske finansministerium har allerede udtrykt bekymring for, at aktiviteten kunne bruges til hvidvaskning.)

OpenSea blev for nylig overhalet i volumen af ​​LooksRare. LooksRare belønner brugere økonomisk for deres handelsvolumen, hvilket forudsigeligt betyder, at slyngler spiller systemet. Kryptoanalysefirmaet CryptoSlam estimerede det cirka 87 procent af den samlede handelsvolumen siden lanceringen er faktisk vaskehandel.

(Vaske handel med NFT'er, ifølge en detaljeret Kædelyse undersøgelse af spørgsmålet, har en interessant asymmetri: De fleste handlende har været urentable, men de succesrige har tjent så meget, at gruppen som helhed har tjent enormt.)

Når det er sagt, at NFT'er er en platform for innovation inden for svindel, er jeg tvunget til at indrømme, at jeg nogle gange beundrer opfindsomheden hos nogle af de kryptohackere/udnyttere, der har fået arbejde i denne nye verden. Tag for eksempel OpenSea "smuthul", der blev udnyttet, fordi nogle NFT-ejere var uvidende om, at deres gamle salgslister stadig var aktive. Disse gamle lister blev fundet, og NFT'erne blev købt. Dette førte til tab af flere dyre NFT'er til bundpriser. 

(Problemet var, at NFT'erne blev solgt til gamle tilbudspriser, da NFT'erne var meget mindre værdifulde. For at give et specifikt eksempel, en angriber betalte i alt $133,000 for syv NFT'er før du hurtigt sælger dem videre for $934,000 i ETH. Fem timer senere blev de dårligt opnåede gevinster sendt gennem Tornado Cash, en "blandingstjeneste", der bruges til at forhindre blockchain-sporing af midler.)

Som Tom Robinson fra blockchain-analysefirmaet Elliptic forklarede, denne geniale (selvom jeg må sige, ikke så komplekse) svindel førte derefter til endnu mere svindel, fordi OpenSea sendte en e-mail til brugere, der stadig havde gamle NFT-lister, og derfor var modtagelige for denne svindel. Men at annullere den gamle notering krævede en ETH-transaktion, så de initiativrige freelance alternative finansieringsentusiaster bag den oprindelige svindel skabte derefter bots for at holde øje med disse særlige transaktioner og frontløbe dem for at købe NFT'erne, før noteringen blev annulleret.

(Med andre ord, ved at forsøge at være hjælpsom og bede brugerne om at annullere de sårbare fortegnelser, gav markedspladsen præcis den information, som gerningsmændene havde brug for for at automatisere deres angreb.)

Skala og omfang

Ikke alle bedragerier er særligt komplekse. En frygtelig masse penge er gået tabt til meget grundlæggende svindel såsom "tæppetræk", hvorved innovative kryptovalutaingeniører annoncerer frigivelsen af ​​et fabelagtigt nyt digitalt aktiv, der vil gøre fantastiske ting i fremtiden, stige 100 gange i værdi på næsten ingen tid og helbrede kræft på vej. Offentligheden reagerer med entusiasme og oversvømmer udstederne med kontanter, hvorefter udstederne forsvinder og sletter deres websted, Telegram-chat og falske LinkedIn-profiler på vej. Offentligheden slipper de virtuelle katte ud af de virtuelle poser og opdager, at de ikke står tilbage med ingenting.

(MonkeyJizz var en fidus! Der kan man bare se!)

Der er dog svig, der udnytter karakteren af ​​den nye infrastruktur mere. "Honeypot" er et sådant eksempel. I en honeypot indsætter programmøren af ​​de smarte kontrakter, der styrer et nyt token, bagdørskode for at sikre, at kun deres egen tegnebog rent faktisk kan sælge! Alle andre, der køber tokens, oplever, at deres penge sidder fast i honningpotten, mens svindleren, der oprettede den smarte kontrakt, kan udbetale til enhver tid.

Omtale af honningkrukker tager os ind på nye områder. Mange af de mest bemærkelsesværdige bedragerier, der florerer, involverer decentraliseret finansiering, eller DeFi, projekter med mere end 10 milliarder dollars tabt på grund af DeFi-tyveri og svindel, som en elliptisk rapport fra november viser. Og dette er kun begyndelsen efter min mening, fordi evnen til at automatisere svindel i DeFi-rummet er en fascinerende og skræmmende udvikling.

(Automatisk svindel er naturligvis ikke begrænset til web3-verdenen. PayPal lukkede for nylig 4.5 millioner konti og sænkede sin prognose for nye kunder efter at have opdaget, at botfarme udnyttede dets incitamenter. De havde tilbudt $10 som et incitament til at åbne nye konti, kl. hvilket punkt bots begyndte at bearbejde PayPal-felterne i stedet for mennesker. Som jeg konsekvent har hævdet, vil IS-A-PERSON legitimationsoplysningerne en dag være den mest værdifulde legitimation af alle.)

Når det kommer til web3, er skæringspunktet mellem smarte kontrakter fuld af programmeringsfejl, kryptovalutaer og anonymitet en helt ny spilleplads for svindlere, terrorister og spøgefugle. Kombinationen af ​​automatisering og kompleksitet er giftig og skal tackles på forhånd. Jeg hader at sige det igen, men vejen frem er gennem en fungerende, egnet til formålet 21. århundredes digital identitetsinfrastruktur. Måske DeFi (der trækker på verificerbare legitimationsoplysninger og nul-viden beviser), snarere end CeFi (trækker på fødererede identiteter og delte attributter), kan kickstarte en identitetsinfrastruktur, som igen vil blive dens varige arv.