Navzdory pokračující volatilitě, která sužuje sektor digitálních aktiv, je jedno místo, které nepochybně nadále vzkvétá, trh nezaměnitelných tokenů (NFT). To je zřejmé ze skutečnosti, že rostoucí počet mainstreamových hybatelů a třesadel, včetně společností jako Coca-Cola, Adidas, New York Stock Exchange (NYSE) a McDonalds a mnoha dalších, si prorazil cestu do rostoucího ekosystému Metaverse. v posledních měsících.
Také vzhledem k tomu, že jen v průběhu roku 2021 dosáhly celosvětové prodeje NFT výše 40 miliard USD, mnoho analytiků očekává, že tento trend bude pokračovat i v budoucnu. Například americká investiční banka Jefferies nedávno zvýšila svou předpověď tržní kapitalizace pro sektor NFT na více než 35 miliard USD pro rok 2022 a na více než 80 miliard USD pro rok 2025 – projekci, kterou zopakovala i JP Morgan.
Naši nejlepší obchodní roboti
Stejně jako u každého trhu, který roste takto exponenciálním tempem, je však třeba počítat i s problémy souvisejícími s bezpečností. V tomto ohledu se prominentní tržiště s nezaměnitelnými tokeny (NFT) OpenSea nedávno stalo obětí phishingového útoku, ke kterému došlo jen několik hodin poté, co platforma oznámila svůj týdenní plánovaný upgrade, aby odstranila všechny neaktivní NFT.
Ponoření se do věci
18. února OpenSea odhalila, že zahájí upgrade smart kontraktu, který vyžaduje, aby všichni jeho uživatelé převedli své uvedené NFT z blockchainu Ethereum do nového smart kontraktu. Uživatelé, kteří neumožnili výše uvedenou migraci, byli v důsledku upgradu vystaveni riziku ztráty svých starých a neaktivních záznamů.
To znamená, že kvůli krátkému termínu migrace, který OpenSea poskytla, se hackerům naskytla velká příležitost. Během několika hodin po oznámení bylo odhaleno, že hanebné osoby třetích stran zahájily sofistikovanou phishingovou kampaň, která odcizila NFT od mnoha uživatelů, které byly uloženy na platformě předtím, než mohli být převedeni na novou smart smlouvu.
Neeraj Murarka, technický ředitel a spoluzakladatel Bluezelle, blockchainu pro ekosystém GameFi, poskytl technické zhroucení celé záležitosti, řekl Cointelegraphu, že v době incidentu OpenSea využívala protokol nazvaný Wyvern, standardní technický modul, který většina webových aplikací NFT využívá, protože umožňuje správu, ukládání a přenos těchto tokenů v peněženkách uživatelů.
Protože inteligentní smlouva se společností Wyvern umožňovala uživatelům pracovat s NFT uloženými v jejich „peněženkách“, hacker byl schopen rozesílat e-maily klientům Opensea maskujícím se jako zástupce platformy a povzbuzovat je k podpisu „slepých“ transakcí. Murarka dále dodal:
„Metaforicky to bylo jako podepsání bianco šeku. Obvykle je to v pořádku, pokud je příjemcem zamýšlený příjemce. Mějte na paměti, že e-mail může odeslat kdokoli, ale zdá se, že jej odeslal někdo jiný. V tomto případě se zdá, že příjemcem je jediný hacker, který dokázal tyto podepsané transakce použít k převodu a efektivní krádeži NFT od těchto uživatelů.“
V zajímavém zvratu událostí po incidentu hacker zjevně vrátil některé z ukradených NFT jejich právoplatným vlastníkům, přičemž bylo vynaloženo další úsilí na vrácení dalších ztracených aktiv. Alexander Klus, zakladatel Creaton, platformy pro tvorbu obsahu Web3, poskytl svůj pohled na celou záležitost a řekl Cointelegraphu, že phishingová e-mailová kampaň používala zákeřnou podpisovou transakci ke schválení všech držeb, aby mohly být kdykoli vyčerpány. "Potřebujeme lepší standardy podepisování (EIP-712), aby lidé při schvalování transakce skutečně viděli, co dělají."
Nakonec Lior Yaffe, spoluzakladatel a ředitel Jelurida, softwarové společnosti zabývající se blockchainem, poukázal na to, že epizoda byla přímým důsledkem zmatku kolem špatně plánovaného upgradu inteligentní smlouvy OpenSea a také architektury schvalování transakcí platformy.
NFT tržiště musí zintenzívnit svou bezpečnostní hru
Podle Murarky by webové aplikace využívající systém chytrých smluv Wyvern měly být rozšířeny o vylepšení použitelnosti, aby se zajistilo, že uživatelé nebudou znovu a znovu napadat takové phishingové útoky, a dodává:
„Měla by být učiněna velmi jasná varování, která by uživatele poučila o phishingových útocích a o tom, že e-maily nebudou nikdy odesílány, a vyzvat uživatele, aby podnikl jakékoli kroky. Webové aplikace, jako je OpenSea, by měly přijmout přísný protokol, aby nikdy nekomunikovaly s uživateli prostřednictvím e-mailu, kromě možná jen registračních údajů.“
To znamená, že připustil, že i kdyby OpenSea přijala nejbezpečnější protokoly a standardy zabezpečení/ochrany soukromí, je stále na jejích uživatelích, aby se o těchto rizicích poučili. „Bohužel je často odpovědná samotná webová aplikace, i když to byl uživatel, kdo byl phishingem. Kdo je zodpovědný? Odpověď je nejasná,“ poznamenal.
Podobný názor sdílí Jessie Chan, náčelník štábu ParallelChain Lab, decentralizovaného blockchainového ekosystému, který Cointelegraphu řekl, že bez ohledu na to, jak byl celý útok zorganizovaný, problém není zcela závislý na existujících bezpečnostních protokolech OpenSea, ale také na povědomí uživatelů proti phishing. Otázkou zůstává, zda měl být provozovatel tržiště schopen poskytnout svým uživatelům dostatečné informace, aby je informoval o tom, jak se s takovými scénáři vypořádat.
Další možností, jak zmírnit jakékoli potenciální phishingové události, je mít všechny interakce mezi uživateli a jejich webovými aplikacemi řízeny výhradně pomocí vyhrazeného mobilního/desktopového rozhraní. "Pokud by všechny interakce vyžadovaly použití aplikace pro stolní počítače, bylo by možné takové útoky zcela obejít."
Yaffe, který poskytl svůj pohled na toto téma, poznamenal, že hlavním problémem – který leží v jádru celé této záležitosti – je základní architektura většiny NFT tržišť, která uživatelům umožňuje jednoduše podepsat carte blanche schválení smlouvy s třetí stranou k použití. jejich soukromá peněženka bez nastavení limitu útraty:
„Vzhledem k tomu, že tým OpenSea ve skutečnosti nezjistil zdroj phishingové operace, může se to stejně dobře opakovat, až se příště pokusí změnit svou architekturu.“
co se dá dělat?
Murarka poznamenal, že nejlepší způsob, jak eliminovat možnost těchto útoků, je, když lidé začnou využívat hardwarové peněženky. Je to proto, že většina softwarových peněženek, stejně jako další řešení úschovy, jsou příliš zranitelné ve svém obecném designu a provozním výhledu. Dále upřesnil: „Stejně jako bitcoiny, Ethereum atd., samotné NFT by měly být přesunuty na účty hardwarové peněženky, místo aby byly ponechány na centralizované platformě,“ dodal:
„Uživatelé si musí být velmi dobře vědomi rizik spojených s odpovídáním na e-maily, které obdrží, a jednáním podle nich. E-maily lze velmi snadno zfalšovat a uživatelé musí být proaktivní ohledně bezpečnosti svých kryptoaktiv.“
Další věc, na kterou si majitelé NFT musí pamatovat, je, že by měli navštěvovat pouze webové aplikace, které využívají vysoce kvalitní bezpečnostní protokoly, a kontrolovat, zda přístupná tržiště využívají mechanismus HTTPS (přinejmenším), a přitom jasně vidět symbol zámku na v levém horním rohu okna prohlížeče – které správně ukazuje na zamýšlenou společnost – při návštěvě jakékoli webové stránky.
Yaffe věří, že uživatelé by měli být opatrní při schvalování smluv a mít přesný přehled o smlouvách, které v minulosti dostali zelenou. „Uživatelé by měli zrušit nepotřebná nebo nebezpečná schválení. Pokud je to možné, měli by uživatelé určit přiměřený limit výdajů pro každé schválení smlouvy,“ uzavírá.
Související: Společnost Cointelegraph spolupracuje se sítí Nitro Network, aby přinesla digitální těžbu a decentralizovaný internet masám
A konečně, Chan věří, že v ideálním případě by uživatelé měli mít své peněženky na vyhrazené platformě, kterou nepoužívají ke čtení e-mailů nebo procházení webu, a dodává, že všechny takové cesty jsou vystaveny všem způsobům útoků třetích stran. Dále uvedl:
„Je to nepohodlné, ale při nakládání s majetkem vysoké hodnoty a tam, kde v případě krádeže neexistuje žádný postih, je namístě maximální opatrnost. A stejně jako u všech finančních transakcí by měli být velmi opatrní při rozhodování, s kým jednat, protože protistrany mohou také ukrást vaše aktiva a zmizet.“
I když se tedy posouváme do budoucnosti poháněné NFT a dalšími podobnými novými digitálními nabídkami, zbývá zjistit, jak se platformy fungující v tomto prostoru nadále vyvíjejí a dospívají, zejména když se na trh NFT dostává stále větší množství kapitálu.
Pokračujte ve čtení na Cointelegraph