Ondanks de aanhoudende volatiliteit die de sector van de digitale activa teistert, is een niche die ongetwijfeld is blijven bloeien, de nonfungible token (NFT)-markt. Dit wordt duidelijk gemaakt door het feit dat een groeiend aantal mainstream movers en shakers, waaronder Coca-Cola, Adidas, de New York Stock Exchange (NYSE) en McDonalds, en vele anderen, hun weg hebben gevonden naar het ontluikende Metaverse-ecosysteem in de afgelopen maanden.
Vanwege het feit dat alleen al in 2021 de wereldwijde NFT-verkoop een hoogtepunt bereikte van $ 40 miljard, verwachten veel analisten dat deze trend zich in de toekomst zal voortzetten. Zo verhoogde de Amerikaanse investeringsbank Jefferies onlangs haar prognose van de marktkapitalisatie voor de NFT-sector tot meer dan $ 35 miljard voor 2022 en tot meer dan $ 80 miljard voor 2025 - een prognose die ook werd herhaald door JP Morgan.
Onze beste handelsrobots
Zoals bij elke markt die met zo'n exponentieel tempo groeit, moeten echter ook beveiligingsproblemen worden verwacht. In dit opzicht werd de prominente non-fungible token (NFT) marktplaats OpenSea onlangs het slachtoffer van een phishing-aanval die plaatsvond enkele uren nadat het platform zijn geplande upgrade van een week aankondigde om alle inactieve NFT's te verwijderen.
In de materie duiken
Op 18 februari onthulde OpenSea dat het een slimme contractupgrade ging initiëren, waarbij al zijn gebruikers hun beursgenoteerde NFT's van de Ethereum-blockchain moesten overzetten naar een nieuw slim contract. Als gevolg van de upgrade liepen gebruikers die de bovengenoemde migratie niet mogelijk maakten, het risico hun oude en inactieve vermeldingen te verliezen.
Dat gezegd hebbende, kregen hackers vanwege de kleine migratiedeadline van OpenSea een grote kans. Binnen enkele uren na de aankondiging werd onthuld dat kwaadaardige externe personen een geavanceerde phishing-campagne hebben gestart, waarbij ze NFT's hebben gestolen van veel gebruikers die op het platform waren opgeslagen voordat ze konden worden gemigreerd naar het nieuwe slimme contract.
Neeraj Murarka, chief technical officer en medeoprichter van Bluezelle, een blockchain voor GameFi-ecosysteem, gaf een technisch overzicht van de zaak en vertelde Cointelegraph dat OpenSea op het moment van het incident gebruik maakte van een protocol genaamd Wyvern, een standaard technische module die de meeste NFT-webapps maken gebruik van omdat het het beheer, de opslag en de overdracht van deze tokens binnen de portemonnee van gebruikers mogelijk maakt.
Omdat het slimme contract met Wyvern gebruikers in staat stelde te werken met de NFT's die in hun "portemonnee" waren opgeslagen, kon de hacker e-mails sturen naar Opensea-klanten die zich voordeden als vertegenwoordiger van het platform, en hen aanmoedigen om "blinde" transacties te ondertekenen. Murarka voegde daar nog aan toe:
“Metaforisch gezien was dit als het tekenen van een blanco cheque. Normaal gesproken is dit oké als de begunstigde de beoogde ontvanger is. Houd er rekening mee dat een e-mail door iedereen kan worden verzonden, maar dat het lijkt alsof deze door iemand anders is verzonden. In dit geval lijkt de begunstigde een enkele hacker te zijn die deze ondertekende transacties kon gebruiken om de NFT's van deze gebruikers over te dragen en effectief te stelen."
Ook, in een interessante wending van de gebeurtenissen, gaf de hacker na het incident blijkbaar enkele van de gestolen NFT's terug aan hun rechtmatige eigenaren, waarbij verdere inspanningen werden geleverd om andere verloren activa terug te geven. Alexander Klus, oprichter van Creaton, een Web3-platform voor het maken van inhoud, vertelde zijn mening over de hele kwestie aan Cointelegraph dat de phishing-e-mailcampagne een kwaadaardige ondertekeningstransactie gebruikte om alle tegoeden goed te keuren zodat ze op elk moment konden worden leeggemaakt. "We hebben betere ondertekeningsnormen nodig (EIP-712) zodat mensen echt kunnen zien wat ze doen bij het goedkeuren van een transactie."
Ten slotte wees Lior Yaffe, medeoprichter en directeur van Jelurida, een blockchain-softwarebedrijf, erop dat de aflevering een direct gevolg was van de verwarring rond de slecht geplande slimme contractupgrade van OpenSea, evenals de transactiegoedkeuringsarchitectuur van het platform.
NFT-marktplaatsen moeten hun beveiligingsspel opvoeren
Volgens Murarka moeten web-apps die gebruikmaken van het slimme contractsysteem van Wyvern worden uitgebreid met verbeteringen in de bruikbaarheid om ervoor te zorgen dat gebruikers niet keer op keer voor dergelijke phishing-aanvallen vallen.
“Er moeten zeer duidelijke waarschuwingen worden gegeven om de gebruiker te informeren over phishing-aanvallen en om naar huis te rijden over het feit dat e-mails nooit zullen worden verzonden, waarbij de gebruiker wordt verzocht stappen te ondernemen. Web-apps zoals OpenSea zouden een strikt protocol moeten hanteren om nooit via e-mail met gebruikers te communiceren, behalve misschien alleen registratiegegevens.”
Dat gezegd hebbende, gaf hij wel toe dat zelfs als OpenSea de veiligste beveiligings-/privacyprotocollen en -normen zou toepassen, het nog steeds aan de gebruikers is om zichzelf over deze risico's te informeren. “Helaas wordt vaak de webapp zelf verantwoordelijk gehouden, ook al was het de gebruiker die werd gephishing. Wie is verantwoordelijk? Het antwoord is onduidelijk", merkte hij op.
Een soortgelijk gevoel wordt gedeeld door Jessie Chan, stafchef van ParallelChain Lab, een gedecentraliseerd blockchain-ecosysteem, die Cointelegraph vertelde dat ongeacht hoe de hele aanval was georkestreerd, het probleem niet volledig afhankelijk is van de bestaande beveiligingsprotocollen van OpenSea, maar ook van het bewustzijn van gebruikers tegen phishing. De vraag blijft of de marktplaatsexploitant in staat had moeten zijn om zijn gebruikers voldoende informatie te geven om hen op de hoogte te houden hoe met dergelijke scenario's om te gaan.
Een andere mogelijkheid om mogelijke phishing-gebeurtenissen te beperken, is door alle interacties tussen gebruikers en hun web-apps uitsluitend te laten verlopen via een speciale mobiele/desktop-interface. "Als alle interacties het gebruik van een desktop-app vereisen, kunnen dergelijke aanvallen volledig worden omzeild."
Yaffe gaf zijn mening over het onderwerp en merkte op dat het grootste probleem - dat de kern vormt van dit hele probleem - de basisarchitectuur van de meeste NFT-marktplaatsen is, waardoor gebruikers eenvoudig een carte blanche-goedkeuring kunnen ondertekenen voor een contract met een derde partij om te gebruiken hun privéportemonnee zonder een bestedingslimiet in te stellen:
"Aangezien het OpenSea-team de bron van de phishing-operatie niet echt heeft kunnen achterhalen, kan het net zo goed weer gebeuren de volgende keer dat ze proberen een wijziging in hun architectuur aan te brengen."
Wat gedaan kan worden?
Murarka merkte op dat de beste manier om de mogelijkheid van deze aanvallen uit te sluiten, is als mensen hardware-wallets gaan gebruiken. Dit komt omdat de meeste softwareportefeuilles en andere oplossingen voor bewarende opslag te kwetsbaar zijn in hun algemene ontwerp en operationele vooruitzichten. Hij werkte verder uit: "Net zoals Bitcoin, Ethereum, enz., zouden NFT's zelf moeten worden verplaatst naar hardware wallet-accounts in plaats van ze op een gecentraliseerd platform te laten", en voegde toe:
"Gebruikers moeten zich zeer bewust zijn van de risico's van het reageren op en reageren op e-mails die ze ontvangen. E-mails kunnen heel gemakkelijk worden vervalst en gebruikers moeten proactief zijn over de veiligheid van hun crypto-activa.
Een ander ding dat NFT-eigenaren moeten onthouden, is dat ze alleen web-apps moeten bezoeken die gebruikmaken van hoogwaardige beveiligingsprotocollen, waarbij ze controleren of de bezochte marktplaatsen het HTTPS-mechanisme gebruiken (op zijn minst) terwijl ze duidelijk een slotsymbool op de linksboven in hun browservenster - dat correct naar het beoogde bedrijf verwijst - tijdens het bezoeken van een webpagina.
Yaffe is van mening dat gebruikers voorzichtig moeten zijn met contractgoedkeuringen en nauwkeurig moeten bijhouden welke contracten ze in het verleden groen licht hebben gegeven. “Gebruikers moeten onnodige of onveilige goedkeuringen intrekken. Indien mogelijk moeten gebruikers een redelijke bestedingslimiet specificeren voor elke contractgoedkeuring”, besluit hij.
Gerelateerd: Cointelegraph werkt samen met Nitro Network om digitale mijnbouw en gedecentraliseerd internet naar de massa te brengen
Ten slotte is Chan van mening dat gebruikers in een ideaal scenario hun portemonnee op een speciaal platform zouden moeten houden dat ze niet gebruiken om e-mail te lezen of op internet te surfen, en voegt eraan toe dat dergelijke wegen onderhevig zijn aan alle manieren van aanvallen van derden. Hij verklaarde verder:
“Dat is onhandig, maar als het gaat om vermogen van grote waarde en waar geen verhaal mogelijk is bij diefstal, is uiterste zorgvuldigheid geboden. En, zoals bij alle financiële transacties, moeten ze heel voorzichtig zijn bij het beslissen met wie ze zaken moeten doen, aangezien de tegenpartijen ook uw activa kunnen stelen en verdwijnen.”
Daarom, terwijl we naar een toekomst gaan die wordt aangedreven door NFT's en andere soortgelijke nieuwe digitale aanbiedingen, valt het nog te bezien hoe platforms die binnen deze ruimte opereren, blijven evolueren en volwassen worden, vooral omdat een groeiende hoeveelheid kapitaal zijn weg blijft vinden naar de NFT-markt.
Lees verder op CoinTelegraph
