A digitális eszközszektort sújtó folyamatos ingadozás ellenére az egyik rés, amely kétségtelenül tovább virágzott, a nem helyettesíthető token (NFT) piac. Ezt nyilvánvalóvá teszi az a tény, hogy egyre több mainstream mozgató és shaker, köztük például a Coca-Cola, az Adidas, a New York-i tőzsde (NYSE) és a McDonalds, sok más mellett belépett a virágzó Metaverse ökoszisztémába. az elmúlt hónapokban.
Tekintettel arra, hogy csak 2021 folyamán a globális NFT-eladások meghaladták a 40 milliárd dollárt, sok elemző arra számít, hogy ez a tendencia a jövőben is folytatódni fog. Például a Jefferies amerikai befektetési bank nemrégiben az NFT-szektorra vonatkozó piaci kapitalizációs előrejelzését 2022-re 35 milliárd dollár fölé, 2025-re pedig 80 milliárd dollár fölé emelte – ezt az előrejelzést a JP Morgan is megerősítette.
A legjobb üzleti robotjaink
Azonban, mint minden ilyen exponenciális ütemben növekvő piac esetében, a biztonsággal kapcsolatos kérdésekre is számítani kell. Ebben a tekintetben a prominens, nem helyettesíthető token (NFT) piactér, az OpenSea a közelmúltban egy adathalász támadás áldozata lett, amelyre néhány órával azután került sor, hogy a platform bejelentette, hogy egy hétre tervezett frissítést hajt végre az összes inaktív NFT eltávolítására.
Búvárkodás az ügyben
Február 18-án az OpenSea felfedte, hogy intelligens szerződés-frissítést fog kezdeményezni, amelynek értelmében minden felhasználónak át kell vinnie a felsorolt NFT-jeit az Ethereum blokkláncból egy új intelligens szerződésre. A frissítés miatt azok a felhasználók, akik nem segítették elő a fenti migrációt, fennállt annak a veszélye, hogy elveszítik régi és inaktív adatlapjaikat.
Ennek ellenére az OpenSea által biztosított rövid migrációs határidő miatt a hackerek hatalmas lehetőséget kaptak. A bejelentést követően néhány órán belül kiderült, hogy gonosz harmadik felek kifinomult adathalász kampányt indítottak, sok felhasználótól ellopva a platformon tárolt NFT-eket, mielőtt áttérhettek volna az új intelligens szerződésre.
Neeraj Murarka, a GameFi-ökoszisztéma blokkláncának, a Bluezelle-nek műszaki vezérigazgató-helyettese és társalapítója az ügy technikai részletét közölve a Cointelegraph-nak elmondta, hogy az incidens idején az OpenSea a Wyvern nevű protokollt használta, amely egy szabványos technológiai modul. A legtöbb NFT webalkalmazás ezt használja, mivel lehetővé teszi ezen tokenek kezelését, tárolását és átvitelét a felhasználók pénztárcáján belül.
Mivel a Wyvernnel kötött intelligens szerződés lehetővé tette a felhasználók számára, hogy a „pénztárcájukban” tárolt NFT-kkel dolgozzanak, a hacker e-maileket küldhetett az Opensea klienseinek, akik a platform képviselőjének álcázták magukat, és arra buzdították őket, hogy írjanak alá „vak” tranzakciókat. Murarka hozzátette:
„Metaforikusan ez olyan volt, mint egy üres csekk aláírása. Általában ez rendben van, ha a kedvezményezett a címzett. Ne feledje, hogy e-mailt bárki küldhet, de úgy tűnhet, mintha valaki más küldte volna. Ebben az esetben úgy tűnik, hogy a kedvezményezett egyetlen hacker, aki képes volt az aláírt tranzakciók segítségével átadni és hatékonyan ellopni az NFT-ket ezektől a felhasználóktól.
Ezenkívül az események egy érdekes fordulataként az esetet követően a hacker nyilvánvalóan visszaadta az ellopott NFT-k egy részét jogos tulajdonosaiknak, és további erőfeszítéseket tettek az elveszett eszközök visszaszolgáltatására. Alexander Klus, a Creaton, egy Web3-as tartalomkészítő platform alapítója a Cointelegraphnak elmondta, hogy az adathalász e-mail kampány rosszindulatú aláírási tranzakciót használt az összes birtok jóváhagyására, hogy bármikor lemerülhessen. "Jobb aláírási szabványokra (EIP-712) van szükségünk, hogy az emberek ténylegesen lássák, mit csinálnak a tranzakció jóváhagyásakor."
Végül Lior Yaffe, a Jelurida, egy blokklánc-szoftvercég társalapítója és igazgatója rámutatott, hogy az epizód az OpenSea rosszul megtervezett intelligens szerződés-frissítése, valamint a platform tranzakció-jóváhagyási architektúrája körüli zűrzavar közvetlen következménye.
Az NFT piactereknek fokozniuk kell biztonsági játékukat
Murarka véleménye szerint a Wyvern intelligens szerződéses rendszert használó webalkalmazásokat használhatósági fejlesztésekkel kellene kiegészíteni annak érdekében, hogy a felhasználók ne essenek újra és újra az ilyen adathalász támadásoknak, hozzátéve:
„Nagyon egyértelmű figyelmeztetéseket kell tenni annak érdekében, hogy a felhasználót tájékoztassuk az adathalász támadásokról, és hazatérítsük azt a tényt, hogy soha nem fognak e-maileket küldeni, és felszólítani kell a felhasználót, hogy tegyen lépéseket. Az olyan webalkalmazásoknak, mint az OpenSea, szigorú protokollt kell alkalmazniuk, hogy soha ne kommunikáljanak a felhasználókkal e-mailben, csak a regisztrációs adatokon kívül.”
Ennek ellenére elismerte, hogy még ha az OpenSea a legbiztonságosabb biztonsági/adatvédelmi protokollokat és szabványokat alkalmazná is, a felhasználókon múlik, hogy tájékozódjanak ezekről a kockázatokról. „Sajnos gyakran magát a webalkalmazást tartják felelősnek, pedig a felhasználót adathalászták. Ki a felelős? A válasz nem egyértelmű” – jegyezte meg.
Hasonlóan vélekedik Jessie Chan, a ParallelChain Lab, egy decentralizált blokklánc-ökoszisztéma vezérkari főnöke is, aki azt mondta a Cointelegraphnak, hogy függetlenül attól, hogy az egész támadást hogyan szervezték meg, a probléma nem teljesen függ az OpenSea meglévő biztonsági protokolljaitól, hanem a felhasználók tudatosságától is. adathalászat. Továbbra is az a kérdés, hogy a piactér üzemeltetőjének képesnek kellett volna-e elegendő információval szolgálnia felhasználóinak ahhoz, hogy tájékoztassa őket arról, hogyan kell kezelni az ilyen forgatókönyveket.
Egy másik lehetőség az esetleges adathalász események mérséklésére az, hogy a felhasználók és webalkalmazásaik közötti összes interakciót kizárólag egy dedikált mobil/asztali felület vezérli. "Ha minden interakcióhoz asztali alkalmazásra lenne szükség, az ilyen támadásokat teljesen meg lehetne kerülni."
A témával kapcsolatos véleményét ismertetve Yaffe megjegyezte, hogy a fő probléma – amely ennek az egész kérdésnek a középpontjában áll – a legtöbb NFT piactér alapvető architektúrája, amely lehetővé teszi a felhasználók számára, hogy egyszerűen aláírjanak egy carte blanche jóváhagyást egy harmadik féllel kötött szerződéshez. saját pénztárcájukat költési limit meghatározása nélkül:
"Mivel az OpenSea csapata nem igazán jött rá az adathalász művelet forrására, ez akár meg is történhet, amikor legközelebb megpróbálnak változtatni az architektúrán."
Mit lehet tenni?
Murarka megjegyezte, hogy az ilyen támadások lehetőségének kiküszöbölésének legjobb módja, ha az emberek elkezdik használni a hardveres pénztárcákat. Ennek az az oka, hogy a legtöbb szoftveres pénztárca, valamint az egyéb megőrzési megoldások túlságosan sebezhetőek általános kialakításukban és működési kilátásaikban. Tovább részletezte: „A Bitcoinhoz, az Ethereumhoz stb. hasonlóan magukat az NFT-ket is át kell helyezni hardveres pénztárcafiókokra, ahelyett, hogy egy központi platformon hagynák őket” – tette hozzá:
„A felhasználóknak rendkívül tisztában kell lenniük azokkal a kockázatokkal, amelyek a kapott e-mailekre való reagálással és az azokra való reagálással járnak. Az e-maileket nagyon könnyen meg lehet hamisítani, és a felhasználóknak proaktívnak kell lenniük kriptoeszközeik biztonságát illetően.”
Egy másik dolog, amit az NFT-tulajdonosoknak emlékezniük kell, hogy csak olyan webalkalmazásokat keressenek fel, amelyek kiváló minőségű biztonsági protokollokat alkalmaznak, és ellenőrizzék, hogy az elért piacterek (legalábbis) a HTTPS-mechanizmust használják-e, miközben tisztán látják a lakat szimbólumot a a böngészőablak bal felső sarkában – amely helyesen mutat a kívánt cégre – bármely weboldal felkeresése közben.
A Yaffe úgy véli, hogy a felhasználóknak óvatosnak kell lenniük a szerződések jóváhagyásával, és pontosan nyomon kell követniük azokat a szerződéseket, amelyeket a múltban zöldítettek. „A felhasználóknak vissza kell vonniuk a szükségtelen vagy nem biztonságos jóváhagyásokat. A felhasználóknak lehetőség szerint minden szerződés-jóváhagyáskor meg kell határozniuk egy ésszerű költési limitet” – összegzi.
Kapcsolódó: A Cointelegraph együttműködik a Nitro Network-vel, hogy a digitális bányászatot és a decentralizált internetet a tömegekhez hozzák
Végül Chan úgy véli, hogy ideális forgatókönyv esetén a felhasználóknak egy dedikált platformon kell tartaniuk pénztárcájukat, amelyet nem használnak e-mailek olvasására vagy böngészésére, hozzátéve, hogy minden ilyen mód ki van téve a harmadik felek mindenféle támadásának. Továbbá kijelentette:
„Ez kényelmetlen, de a nagy értékű vagyontárgyak kezelésekor, ahol lopás esetén nincs jogorvoslat, indokolt a rendkívüli körültekintés. És mint minden pénzügyi tranzakciónál, nagyon óvatosnak kell lenniük annak eldöntésében, hogy kivel foglalkozzanak, mivel a felek ellophatják vagyonát és eltűnhetnek.”
Ezért, miközben az NFT-k és más hasonló újszerű digitális ajánlatok által vezérelt jövő felé haladunk, látni kell, hogy az ezen a területen működő platformok hogyan fejlődnek és érnek tovább, különösen akkor, amikor egyre nagyobb mennyiségű tőke jut be az NFT-piacra.
Olvassa tovább a Cointelegraph oldalon