Trotz der anhaltenden Volatilität, die den Sektor der digitalen Vermögenswerte plagt, ist eine Nische, die zweifellos weiter floriert, der Markt für nicht fungible Token (NFT). Dies wird durch die Tatsache deutlich, dass eine wachsende Zahl von Mainstream-Machern wie Coca-Cola, Adidas, der New York Stock Exchange (NYSE) und McDonalds, unter vielen anderen, ihren Weg in das aufkeimende Metaverse-Ökosystem gefunden haben in den letzten Monaten.
Aufgrund der Tatsache, dass der weltweite NFT-Umsatz allein im Laufe des Jahres 2021 einen Höchststand von 40 Milliarden US-Dollar erreichte, erwarten viele Analysten, dass sich dieser Trend auch in Zukunft fortsetzen wird. Beispielsweise hat die amerikanische Investmentbank Jefferies kürzlich ihre Marktkapitalisierungsprognose für den NFT-Sektor auf über 35 Milliarden US-Dollar für 2022 und auf über 80 Milliarden US-Dollar für 2025 angehoben – eine Prognose, die auch von JP Morgan bestätigt wurde.
Unsere Top Trading Bots
Wie bei jedem Markt, der so exponentiell wächst, muss jedoch auch mit Sicherheitsproblemen gerechnet werden. In diesem Zusammenhang wurde OpenSea, der bekannte Marktplatz für nicht fungible Token (NFT), kürzlich Opfer eines Phishing-Angriffs, der nur wenige Stunden nach der Ankündigung der Plattform stattfand, ihr wochenlang geplantes Upgrade zur Entfernung aller inaktiven NFTs von der Liste zu nehmen.
Eintauchen in die Materie
Am 18. Februar gab OpenSea bekannt, dass es ein Smart-Contract-Upgrade initiieren würde, bei dem alle seine Benutzer ihre aufgelisteten NFTs von der Ethereum-Blockchain auf einen neuen Smart-Contract übertragen müssen. Aufgrund des Upgrades liefen Benutzer, die die oben genannte Migration nicht ermöglichten, Gefahr, ihre alten und inaktiven Einträge zu verlieren.
Aufgrund der kurzen Migrationsfrist von OpenSea bot sich Hackern jedoch eine große Chance. Innerhalb weniger Stunden nach der Ankündigung wurde bekannt, dass schändliche Drittpersonen eine ausgeklügelte Phishing-Kampagne gestartet haben, bei der sie NFTs von vielen Benutzern gestohlen haben, die auf der Plattform gespeichert waren, bevor sie auf den neuen Smart Contract migriert werden konnten.
Neeraj Murarka, Chief Technical Officer und Mitbegründer von Bluezelle, einer Blockchain für das GameFi-Ökosystem, lieferte eine technische Aufschlüsselung der Angelegenheit und sagte gegenüber Cointelegraph, dass OpenSea zum Zeitpunkt des Vorfalls ein Protokoll namens Wyvern verwendete, ein Standard-Tech-Modul, das Die meisten NFT-Web-Apps verwenden sie, da sie die Verwaltung, Speicherung und Übertragung dieser Token in den Brieftaschen der Benutzer ermöglichen.
Da der Smart Contract mit Wyvern es den Benutzern ermöglichte, mit den in ihren „Wallets“ gespeicherten NFTs zu arbeiten, war der Hacker in der Lage, E-Mails an Opensea-Kunden zu senden, die sich als Vertreter der Plattform ausgaben, und sie ermutigte, „blinde“ Transaktionen zu unterzeichnen. Murarka fügte weiter hinzu:
„Metaphorisch war das wie das Unterschreiben eines Blankoschecks. Normalerweise ist dies in Ordnung, wenn der Zahlungsempfänger der beabsichtigte Empfänger ist. Denken Sie daran, dass eine E-Mail von jedem gesendet werden kann, aber den Anschein erweckt, von jemand anderem gesendet zu werden. In diesem Fall scheint der Zahlungsempfänger ein einzelner Hacker zu sein, der diese signierten Transaktionen verwenden konnte, um die NFTs von diesen Benutzern zu übertragen und effektiv zu stehlen.“
In einer interessanten Wendung der Ereignisse gab der Hacker nach dem Vorfall offenbar einige der gestohlenen NFTs an ihre rechtmäßigen Eigentümer zurück, wobei weitere Anstrengungen unternommen wurden, um andere verlorene Vermögenswerte zurückzugeben. Alexander Klus, Gründer von Creaton, einer Plattform zur Erstellung von Web3-Inhalten, äußerte sich zu der gesamten Angelegenheit und sagte gegenüber Cointelegraph, dass die Phishing-E-Mail-Kampagne eine böswillige Signaturtransaktion verwendet habe, um zu genehmigen, dass alle Bestände jederzeit gelöscht werden können. „Wir brauchen bessere Signaturstandards (EIP-712), damit die Leute tatsächlich sehen können, was sie tun, wenn sie eine Transaktion genehmigen.“
Schließlich wies Lior Yaffe, Mitbegründer und Direktor von Jelurida, einem Blockchain-Softwareunternehmen, darauf hin, dass die Episode ein direktes Ergebnis der Verwirrung um das schlecht geplante Smart-Contract-Upgrade von OpenSea sowie die Transaktionsgenehmigungsarchitektur der Plattform sei.
NFT-Marktplätze müssen ihr Sicherheitsspiel verstärken
Nach Ansicht von Murarka sollten Web-Apps, die das intelligente Vertragssystem von Wyvern nutzen, durch Verbesserungen der Benutzerfreundlichkeit ergänzt werden, um sicherzustellen, dass Benutzer nicht immer wieder auf solche Phishing-Angriffe hereinfallen, und fügt hinzu:
„Es sollten sehr klare Warnungen gegeben werden, um den Benutzer über Phishing-Angriffe aufzuklären und die Tatsache nach Hause zu fahren, dass E-Mails niemals gesendet werden, und den Benutzer auffordern, irgendwelche Schritte zu unternehmen. Web-Apps wie OpenSea sollten ein strenges Protokoll anwenden, um niemals mit Benutzern per E-Mail zu kommunizieren, abgesehen von vielleicht nur Registrierungsdaten.“
Allerdings räumte er ein, dass selbst wenn OpenSea die sichersten Sicherheits-/Datenschutzprotokolle und -standards übernehmen sollte, es immer noch an seinen Benutzern liegt, sich über diese Risiken zu informieren. „Leider wird oft die Web-App selbst dafür verantwortlich gemacht, obwohl der Benutzer gephisht wurde. Wer ist verantwortlich? Die Antwort ist unklar“, bemerkte er.
Eine ähnliche Meinung teilt Jessie Chan, Stabschefin bei ParallelChain Lab, einem dezentralen Blockchain-Ökosystem, die Cointelegraph sagte, dass das Problem unabhängig davon, wie der gesamte Angriff orchestriert wurde, nicht vollständig von den bestehenden Sicherheitsprotokollen von OpenSea abhängt, sondern auch vom Bewusstsein der Benutzer Phishing. Es bleibt die Frage, ob der Marktplatzbetreiber in der Lage gewesen sein sollte, seine Nutzer ausreichend zu informieren, um sie über den Umgang mit solchen Szenarien auf dem Laufenden zu halten.
Eine weitere Möglichkeit, potenzielle Phishing-Ereignisse abzuschwächen, besteht darin, dass alle Interaktionen zwischen Benutzern und ihren Web-Apps ausschließlich über die Verwendung einer dedizierten Mobil-/Desktop-Schnittstelle gesteuert werden. „Wenn alle Interaktionen die Verwendung einer Desktop-App erforderten, könnten solche Angriffe vollständig umgangen werden.“
Yaffe stellte seine Meinung zu diesem Thema dar und stellte fest, dass das Hauptproblem – das den Kern dieses ganzen Problems bildet – die grundlegende Architektur der meisten NFT-Marktplätze ist, die es den Benutzern ermöglicht, einfach eine Carte-Blanche-Genehmigung für die Nutzung eines Drittanbietervertrags zu unterzeichnen ihre private Brieftasche ohne Festlegung eines Ausgabenlimits:
„Da das OpenSea-Team die Quelle der Phishing-Operation nicht wirklich herausgefunden hat, könnte es genauso gut wieder passieren, wenn sie das nächste Mal versuchen, eine Änderung an ihrer Architektur vorzunehmen.“
Was kann getan werden?
Murarka bemerkte, dass der beste Weg, die Möglichkeit dieser Angriffe auszuschließen, darin besteht, dass die Leute anfangen, Hardware-Wallets zu verwenden. Dies liegt daran, dass die meisten Software-Wallets sowie andere Depotspeicherlösungen in ihrem allgemeinen Design und ihren Betriebsaussichten zu anfällig sind. Er führte weiter aus: „Ähnlich wie Bitcoin, Ethereum usw. sollten NFTs selbst auf Hardware-Wallet-Konten verschoben werden, anstatt sie auf einer zentralisierten Plattform zu belassen“, fügte er hinzu:
„Benutzer müssen sich der Risiken bewusst sein, die mit der Beantwortung und Reaktion auf erhaltene E-Mails verbunden sind. E-Mails können sehr leicht gefälscht werden, und Benutzer müssen sich proaktiv um die Sicherheit ihrer Krypto-Assets kümmern.“
Eine andere Sache, an die NFT-Besitzer denken müssen, ist, dass sie nur Web-Apps besuchen sollten, die hochwertige Sicherheitsprotokolle verwenden, und überprüfen, ob die aufgerufenen Marktplätze (zumindest) den HTTPS-Mechanismus verwenden, während sie ein Schlosssymbol auf dem deutlich sehen können oben links in ihrem Browserfenster – das korrekt auf das beabsichtigte Unternehmen verweist – beim Besuch einer beliebigen Webseite.
Yaffe ist der Ansicht, dass Benutzer mit Vertragsgenehmigungen vorsichtig sein und einen genauen Überblick über die Verträge behalten sollten, für die sie in der Vergangenheit grünes Licht gegeben haben. „Benutzer sollten unnötige oder unsichere Genehmigungen widerrufen. Nutzer sollten nach Möglichkeit bei jeder Vertragsfreigabe ein angemessenes Ausgabenlimit festlegen“, schließt er ab.
Verbunden: Cointelegraph arbeitet mit Nitro Network zusammen, um digitales Mining und dezentralisiertes Internet der breiten Masse zugänglich zu machen
Schließlich glaubt Chan, dass Benutzer ihre Brieftaschen im Idealfall auf einer dedizierten Plattform aufbewahren sollten, die sie nicht zum Lesen von E-Mails oder zum Surfen im Internet verwenden, und fügt hinzu, dass solche Wege allen Arten von Angriffen Dritter ausgesetzt sind. Er erklärte weiter:
„Das ist unbequem, aber wenn es um Vermögenswerte von hohem Wert geht und im Falle eines Diebstahls kein Rückgriff möglich ist, ist äußerste Vorsicht gerechtfertigt. Und wie bei allen Finanztransaktionen sollten sie sehr sorgfältig entscheiden, mit wem sie es zu tun haben, da die Gegenparteien auch Ihr Vermögen stehlen und verschwinden können.“
Während wir uns also in eine Zukunft bewegen, die von NFTs und anderen ähnlichen neuartigen digitalen Angeboten angetrieben wird, bleibt abzuwarten, wie sich Plattformen, die in diesem Bereich tätig sind, weiterentwickeln und reifen, insbesondere da immer mehr Kapital auf den NFT-Markt gelangt.
Lesen Sie weiter auf Cointelegraph
