Pomimo ciągłej zmienności nękającej sektor aktywów cyfrowych, jedną z niszy, która bez wątpienia nadal się rozwija, jest rynek tokenów niewymiennych (NFT). Świadczy o tym fakt, że do rozwijającego się ekosystemu Metaverse trafiła m.in. coraz większa liczba głównych graczy, w tym m.in. Coca-Cola, Adidas, Nowojorska Giełda Papierów Wartościowych (NYSE) i McDonalds. w ostatnich miesiącach.
Ponadto, ze względu na fakt, że w samym tylko 2021 r. globalna sprzedaż NFT osiągnęła poziom 40 miliardów dolarów, wielu analityków spodziewa się, że trend ten utrzyma się w przyszłości. Na przykład amerykański bank inwestycyjny Jefferies niedawno podniósł swoją prognozę kapitalizacji rynkowej dla sektora NFT do ponad 35 miliardów dolarów na 2022 i ponad 80 miliardów dolarów na 2025 – prognozę, którą powtórzył również JP Morgan.
Nasze najlepsze roboty biznesowe
Jednak, jak w przypadku każdego rynku rozwijającego się w tak wykładniczym tempie, należy się również spodziewać problemów związanych z bezpieczeństwem. W związku z tym znany rynek nonfungible tokenów (NFT) OpenSea padł niedawno ofiarą ataku phishingowego, który miał miejsce zaledwie kilka godzin po tym, jak platforma ogłosiła planowaną na tydzień aktualizację, aby usunąć z listy wszystkie nieaktywne NFT.
Zagłębiając się w sprawę
18 lutego OpenSea ujawniło, że zamierza zainicjować aktualizację inteligentnej umowy, wymagając od wszystkich użytkowników przeniesienia ich notowanych na giełdzie transakcji NFT z łańcucha bloków Ethereum do nowej inteligentnej umowy. Dzięki aktualizacji użytkownicy, którzy nie dokonali powyższej migracji, byli narażeni na ryzyko utraty swoich starych i nieaktywnych ofert.
To powiedziawszy, ze względu na krótki termin migracji zapewniony przez OpenSea, hakerzy otrzymali potężne okno możliwości. W ciągu kilku godzin od ogłoszenia ujawniono, że nikczemne osoby trzecie zainicjowały wyrafinowaną kampanię phishingową, kradnąc NFT od wielu użytkowników, które były przechowywane na platformie, zanim mogli zostać przeniesieni do nowej inteligentnej umowy.
Zapewniając techniczne rozwiązanie sprawy, Neeraj Murarka, dyrektor techniczny i współzałożyciel Bluezelle, blockchain dla ekosystemu GameFi, powiedział Cointelegraph, że w czasie incydentu OpenSea korzystał z protokołu o nazwie Wyvern, standardowego modułu technologicznego, który większość aplikacji internetowych NFT korzysta z tego, ponieważ umożliwia zarządzanie, przechowywanie i przesyłanie tych tokenów w portfelach użytkowników.
Ponieważ inteligentna umowa z Wyvern umożliwiała użytkownikom pracę z NFT przechowywanymi w ich „portfelach”, haker mógł wysyłać e-maile do klientów Opensea podszywając się pod przedstawiciela platformy, zachęcając ich do podpisywania „ślepych” transakcji. Murarka dodatkowo dodała:
„Metaforycznie było to jak podpisanie czeku in blanco. Zwykle jest to w porządku, jeśli odbiorca jest zamierzonym odbiorcą. Pamiętaj, że wiadomość e-mail może wysłać każdy, ale wygląda na to, że została wysłana przez kogoś innego. W tym przypadku odbiorca płatności wydaje się być pojedynczym hakerem, który był w stanie wykorzystać te podpisane transakcje do przeniesienia i skutecznego wykradzenia NFT od tych użytkowników”.
Ponadto, w interesującym skręcie wydarzeń, po incydencie haker najwyraźniej zwrócił część skradzionych NFT ich prawowitym właścicielom, podejmując dalsze wysiłki, aby zwrócić inne utracone aktywa. Przedstawiając swoją opinię na temat całej sprawy, Alexander Klus, założyciel Creaton, platformy do tworzenia treści Web3, powiedział Cointelegraph, że kampania phishingowa wykorzystywała złośliwą transakcję podpisywania, aby zatwierdzić wszystkie zasoby, aby można je było w każdej chwili opróżnić. „Potrzebujemy lepszych standardów podpisywania (EIP-712), aby ludzie mogli faktycznie zobaczyć, co robią podczas zatwierdzania transakcji”.
Na koniec Lior Yaffe, współzałożyciel i dyrektor Jelurida, firmy zajmującej się oprogramowaniem blockchain, wskazał, że epizod był bezpośrednim wynikiem zamieszania związanego ze źle zaplanowaną aktualizacją inteligentnych kontraktów OpenSea, a także architekturą zatwierdzania transakcji platformy.
Rynki NFT muszą wzmocnić swoją grę w zakresie bezpieczeństwa
Zdaniem Murarki aplikacje internetowe korzystające z systemu inteligentnych kontraktów Wyvern powinny zostać wzbogacone o ulepszenia użyteczności, aby użytkownicy nie dawali się raz po raz nabrać na takie ataki phishingowe, dodając:
„Należy wprowadzić bardzo wyraźne ostrzeżenia, aby uświadamiać użytkownika o atakach phishingowych i informować o tym, że wiadomości e-mail nigdy nie zostaną wysłane, zachęcając użytkownika do podjęcia jakichkolwiek kroków. Aplikacje internetowe, takie jak OpenSea, powinny przyjąć ścisły protokół, aby nigdy nie komunikować się z użytkownikami za pośrednictwem poczty e-mail, z wyjątkiem może tylko danych rejestracyjnych”.
To powiedziawszy, przyznał, że nawet jeśli OpenSea przyjmie najbezpieczniejsze protokoły i standardy bezpieczeństwa/prywatności, to nadal do jego użytkowników należy edukowanie się na temat tych zagrożeń. „Niestety sama aplikacja internetowa jest często obarczana odpowiedzialnością, mimo że to użytkownik został wyłudzony. Kto jest odpowiedzialny? Odpowiedź jest niejasna” – zauważył.
Podobny sentyment podziela Jessie Chan, szef personelu ParallelChain Lab, zdecentralizowanego ekosystemu blockchain, który powiedział Cointelegraph, że niezależnie od tego, jak zaaranżowano cały atak, problem nie jest całkowicie uzależniony od istniejących protokołów bezpieczeństwa OpenSea, ale także od świadomości użytkowników przeciwko wyłudzanie informacji. Pozostaje pytanie, czy operator rynku powinien był być w stanie dostarczyć swoim użytkownikom wystarczające informacje, aby informować ich o tym, jak radzić sobie z takimi scenariuszami.
Inną możliwością złagodzenia potencjalnych zdarzeń phishingowych jest kierowanie wszystkich interakcji między użytkownikami i ich aplikacjami internetowymi wyłącznie za pomocą dedykowanego interfejsu mobilnego/komputerowego. „Gdyby wszystkie interakcje wymagały użycia aplikacji komputerowej, takie ataki można by całkowicie ominąć”.
Wypowiadając się na ten temat, Yaffe zauważył, że głównym problemem – który leży u podstaw całego problemu – jest podstawowa architektura większości rynków NFT, umożliwiająca użytkownikom po prostu podpisanie zgody na korzystanie z umowy z podmiotami zewnętrznymi. ich prywatny portfel bez ustawiania limitu wydatków:
„Ponieważ zespół OpenSea tak naprawdę nie odkrył źródła operacji phishingowej, równie dobrze może się to powtórzyć następnym razem, gdy spróbują zmienić swoją architekturę”.
Co można zrobić?
Murarka zauważył, że najlepszym sposobem na wyeliminowanie możliwości tych ataków jest rozpoczęcie korzystania z portfeli sprzętowych. Dzieje się tak, ponieważ większość portfeli oprogramowania, a także inne rozwiązania do przechowywania powierniczego są zbyt podatne na ataki pod względem ogólnego projektu i perspektyw operacyjnych. Następnie wyjaśnił: „Podobnie jak Bitcoin, Ethereum itp., same transakcje NFT powinny zostać przeniesione na konta w portfelu sprzętowym, zamiast pozostawiać je na scentralizowanej platformie”, dodając:
„Użytkownicy muszą być bardzo świadomi ryzyka związanego z reagowaniem i działaniem na otrzymywane wiadomości e-mail. E-maile można bardzo łatwo sfałszować, a użytkownicy muszą być proaktywni w kwestii bezpieczeństwa swoich aktywów kryptograficznych”.
Inną rzeczą, o której właściciele NFT muszą pamiętać, jest to, że powinni odwiedzać tylko aplikacje internetowe, które wykorzystują wysokiej jakości protokoły bezpieczeństwa, sprawdzając, czy odwiedzane sklepy wykorzystują mechanizm HTTPS (przynajmniej), jednocześnie będąc w stanie wyraźnie zobaczyć symbol kłódki na w lewym górnym rogu okna przeglądarki — które prawidłowo wskazuje docelową firmę — podczas odwiedzania dowolnej strony internetowej.
Yaffe uważa, że użytkownicy powinni być ostrożni przy zatwierdzaniu umów i dokładnie śledzić umowy, które zawarli w przeszłości. „Użytkownicy powinni cofnąć niepotrzebne lub niebezpieczne zatwierdzenia. Jeśli to możliwe, użytkownicy powinni określać rozsądny limit wydatków przy każdym zatwierdzaniu umowy – podsumowuje.
Powiązane: Cointelegraph współpracuje z Nitro Network w celu udostępnienia masom cyfrowego wydobycia i zdecentralizowanego Internetu
Wreszcie Chan uważa, że w idealnym scenariuszu użytkownicy powinni przechowywać swoje portfele na dedykowanej platformie, której nie używają do czytania wiadomości e-mail ani przeglądania stron internetowych, dodając, że wszelkie takie sposoby są przedmiotem wszelkiego rodzaju ataków stron trzecich. Dalej stwierdził:
„To niewygodne, ale gdy mamy do czynienia z aktywami o dużej wartości i nie ma możliwości odwołania się w przypadku kradzieży, szczególna ostrożność jest uzasadniona. I, podobnie jak w przypadku wszystkich transakcji finansowych, powinni bardzo ostrożnie decydować, z kim mają do czynienia, ponieważ kontrahenci mogą również ukraść twoje aktywa i zniknąć.
Dlatego, przechodząc w przyszłość napędzaną przez NFT i inne podobne nowatorskie oferty cyfrowe, okaże się, jak platformy działające w tej przestrzeni nadal ewoluują i dojrzewają, zwłaszcza gdy coraz większa ilość kapitału wdziera się na rynek NFT.
Czytaj dalej Cointelegraph