Tregu i tokenave jo të këmbyeshëm (NFT) ka lulëzuar që nga vera e vitit 2021 dhe ndërsa çmimet e NFT u rritën në qiell, po ashtu u rrit edhe numri i hakimeve që synojnë NFT-të.
Haku më i fundit i profilit të lartë ka marrë rreth 600 Eter (ETH) vlera e NFT-ve nga Arthur0x, themeluesi i DeFiance Capital, të cilat më pas u shitën në OpenSea.
Një raport i vitit 2022 i krimit kripto i publikuar nga Chainalysis theksoi se vlera e dërguar në tregjet NFT nga adresa të paligjshme u rrit ndjeshëm në vitin 2021, duke arritur në pak më pak se 1.4 milion dollarë. Kishte gjithashtu një rritje të qartë të fondeve të vjedhura të dërguara në tregjet NFT.
Duke pasur parasysh rritjen e shpejtë shqetësuese të vlerës së paligjshme që rrjedh në platformat NFT, është e natyrshme të pyesim nëse masat dhe procedurat e sigurisë janë vendosur dhe nëse po, nëse këto masa janë efektive në mbrojtjen e pronarëve.
Le të hedhim një vështrim në OpenSea, platformën më të madhe NFT dhe masat e saj të sigurisë.
Masat e sigurisë në OpenSea nuk mund të mbrojnë përdoruesit
OpenSea ka dy masa kryesore sigurie që fillojnë pasi një llogari është "hakuar" - bllokimi i llogarisë së komprometuar dhe bllokimi i NFT-ve të vjedhura. Këto dy masa janë shumë joefektive kur i shikojmë nga afër.
Bllokimi i llogarisë mund të bëhet në faqen e internetit OpenSea pa miratimin njerëzor si treguar këtu, ndërsa bllokimi i NFT-ve përfshin një proces të gjatë të ngritjes së një bilete dhe pritjes që ekipi i ndihmës OpenSea të përgjigjet.
Në një situatë kur një haker ka komprometuar tashmë portofolin dhe është në proces të transferimit të NFT-ve jashtë, mbyllja e llogarisë do të jetë efektive vetëm nëse bëhet përpara se hakeri të transferojë gjithçka jashtë.
Në mënyrë të ngjashme, bllokimi i NFT-ve është gjithashtu efektiv vetëm përpara se NFT-të t'i shiten një blerësi tjetër nga hakeri. Ajo që është edhe më e keqja është se kjo masë sigurie krijon një sërë viktimash indirekte që përfundojnë me NFT të bllokuara që nuk mund të shiten apo transferohen. Kjo për shkak se koha e përgjigjes për biletat e ngritura në OpenSea është të paktën një ditë. Në kohën kur NFT-të janë bllokuar nga OpenSea, ato tashmë do t'i ishin shitur një blerësi tjetër, i cili tani bëhet viktima e re e krimit.
Në rastin e 17 Azuki-t të vjedhur nga Arthur0x, 15 u vodhën brenda të njëjtës minutë dhe dy u vodhën tre minuta më vonë. Koha mesatare që këto NFT të vjedhura qëndruan në portofolin e hakerit përpara se të shiteshin është 43 minuta. Masat e sigurisë nga OpenSea nuk janë në asnjë mënyrë të përgjegjshme dhe mjaft të shpejta për të informuar viktimën dhe për të ndaluar hakerin; as nuk mund t'i informojnë blerësit aq sa duhet për t'i ndaluar ata të blejnë NFT-të e vjedhura dhe të bëhen viktima indirekte.
Bllokimi i NFT-ve të vjedhura krijon viktima indirekte
Një viktimë indirekte është dikush që nuk është objektivi i hakimit, por indirekt vuan nga humbjet financiare të shkaktuara nga bllokimi i NFT-ve të vjedhura. Siç shihet nga shumë hakime të fundit NFT, NFT-të shiten gjithmonë përpara se blloku të zbatohet nga OpenSea. Pasoja e bllokimit të NFT-ve shumë vonë është se krijon viktima indirekte dhe më shumë humbje për më shumë njerëz.
Për të ilustruar më në detaje se si dikush mund të përfundojë duke blerë një NFT të vjedhur dhe të bëhet një viktimë indirekte e një hakeri, këtu janë tre raste të zakonshme:
Rasti 1: Alice bleu një NFT, por vetëm më vonë zbuloi se ishte një pasuri e vjedhur. NFT është bllokuar dhe Alice nuk mund ta shesë ose transferojë atë në OpenSea. Më pas ajo vazhdon të mbledhë një biletë mbështetjeje. Pas disa javësh, ekipi i OpenSea Trust & Safety ofron rimbursimin e tarifave të platformës prej 2.5%; dhe ndoshta adresën e emailit të viktimës që ka raportuar vjedhjen nëse ka fat. Më pas, ajo ka të ngjarë të ketë një diskutim të gjatë me viktimën për të negociuar mundësinë e heqjes së bllokut, i cili me shumë mundësi nuk do të përfundojë askund.
Alice mund të shesë ende NFT në tregje të tjera, por vëllimi i shitjeve është shumë i ulët për këtë koleksion të veçantë dhe nuk ka asnjë blerës që mund të ofrojë një çmim të drejtë në platforma të tjera përveç OpenSea.
Rasti 2: Alice bëri oferta të shumta ndërsa ofronte për NFT nga një koleksion. Një nga ofertat u pranua nga hakeri, i cili më pas mori pagesën nga oferta në portofolin e viktimës dhe vazhdoi me pastrimin e portofolit. NFT u bllokua më vonë si pjesë e pasurive të vjedhura nga transaksionet e paautorizuara nga viktima.
Raste të tilla ndodhin shpesh sepse NFT-të e listuara nuk mund të transferohen nëse listimi nuk anulohet. Hakeri, i cili është nën presionin e kohës, do të ketë më shumë gjasa të pranojë një ofertë dhe të marrë të ardhurat nga shitja dhe t'i transferojë paratë jashtë. Rasti më poshtë tregon se si i gjithë koleksioni NFT i viktimës indirekte u bllokua nga OpenSea pa shpjegim.
Këtu është tema ime se si @opensea bllokoi në mënyrë të paarsyeshme llogarinë time dhe ngriu të gjitha NFT-të e mia pas ofertës sime 40 vjeçare @BoredApeYC #6267 u pranua.
Mendoj se është shumë e rëndësishme të përhapet ky rast në komunitetin NFT!
Le të fillojmë ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Nëntor 10, 2021
Rasti 3: Alice ka në pronësi një NFT për mjaft kohë dhe befas bllokohet dhe shënohet si "raportuar për aktivitet të dyshimtë". Llogaria e shitësit nuk është e rrezikuar dhe transaksioni ka ndodhur pak më parë. Meqenëse nuk kërkohen prova për të raportuar një NFT të vjedhur dhe për ta bllokuar atë, çdokush mund t'i dërgojë një email ekipit kundër mashtrimit të OpenSea për të bllokuar çdo NFT.
Megjithëse një raport policor mund të kërkohet më vonë, nuk ka as një deklaratë të qartë nga OpenSea për të specifikuar provat e nevojshme për të vërtetuar hakimin dhe as një kusht nën të cilin një NFT e vjedhur e raportuar në mënyrë të rreme mund të identifikohet dhe të hiqet nga blloku. Nuk ka asnjë pasojë për raportimin e rremë të NFT-ve të vjedhura.
NFT-të shpesh bllokohen pa shpjegime apo prova të tilla si raportet e policisë që i jepen viktimës indirekte. Teorikisht, këto NFT mund të tregtohen ende në platforma të tjera, por duke pasur parasysh monopolin e OpenSea në treg, me 95% të vëllimeve totale të tregtimit NFT, bllokimi i çdo NFT në OpenSea është pothuajse i barabartë me heqjen e tyre nga tregu përgjithmonë.
Bllokimi i NFT-ve mund të rrisë artificialisht çmimin
Rreziku i bllokimit të NFT-ve të vjedhura nga tregtimi në platformën më të madhe NFT OpenSea është reduktimi i përhershëm i furnizimit. Bazuar në ligji i ofertës dhe kërkesës në teorinë e ekonomisë, kur oferta bie, çmimi rritet.
Për shembull, koleksioni Azuki ka 10,000 NFT dhe aktualisht, vetëm 1,100 janë në shitje në OpenSea. Hakimi i Arthur0x rezultoi në vjedhjen dhe bllokimin e 17. Edhe pse 17 NFT janë vetëm rreth 1.5% e ofertës 1,100 qarkulluese, çmimi ka treguar tashmë një tendencë rritjeje pas hakimit. Hakimi ndodhi më 22 mars dhe çmimi strehë më 28 mars deri në 20.96 E para njoftimit të lëshimit të ajrit më 31 mars — një rritje prej 55% brenda një jave.
Megjithëse jo të gjitha nga 17 NFT-të e vjedhura janë bllokuar pasi Arthur arriti të rimarrë disa përmes negociatave me viktimat indirekte për t'i blerë ato, hakimet e ardhshme në një formë të ngjashme do të ndodhin vazhdimisht dhe numri kumulativ i NFT-ve të bllokuara mund të rritet vetëm ndërsa hakimet vazhdojnë dhe nuk ka asnjë procedurë për zhbllokimin e tyre.
Duke përdorur përsëri Azuki si shembull, grafiku më poshtë mbledh numrin historik të shitjeve dhe çmimin mesatar për të krijuar një kurbë të kërkesës dhe supozon se kurba e ofertës është lineare. Pika ku kryqëzohen kurbat e ofertës dhe kërkesës është çmimi i ekuilibrit.
Ndërsa oferta zvogëlohet vazhdimisht, shpejtësia e rritjes së çmimit bëhet më e shpejtë pasi pjerrësia e kurbës së kërkesës bëhet më e madhe. Një ulje e barabartë prej 300 NFT në ofertë nga 1,000 në 700 kundrejt 700 në 400 rezulton në një rritje më të madhe të çmimit për këtë të fundit.
Siç tregohet në grafikun e mëposhtëm, çmimi rritet nga 15 ETH në 21 ETH nga ulja 1,000 në 700, por rritet më shumë nga 21 ETH në 28 ETH nga ulja 700 në 400.
Është e qartë se bllokimi i NFT-ve të vjedhura mund të rrisë artificialisht çmimin e koleksionit. Nëse dikush do të donte të përfitonte nga boshllëku në sistemin e sigurisë OpenSea duke raportuar në mënyrë të rreme shumë NFT nga i njëjti koleksion si të vjedhura (pasi nuk kërkohen prova për të raportuar NFT-të e vjedhura), çmimi i koleksionit mund të rritet në mënyrë dramatike nëse furnizimi është i ulët . Ky boshllëk mund të krijojë mundësi për manipulimin e çmimeve në tregun jolikuid NFT.
Në çdo rast, bllokimi i NFT-ve nuk është një masë efektive për të ndaluar hakerin apo ndëshkuar hakerin, por përkundrazi, krijon më shumë viktima indirekte dhe boshllëqe për manipuluesit e tregut. Kjo sigurisht nuk është mënyra për të shkuar, kështu që a ka ndonjë masë sigurie efektive?
Duhet të vendosen masa parandaluese dhe një sistem i bazuar në fakte
Sistemi aktual i sigurisë OpenSea nuk ka masa parandaluese për të mbrojtur përdoruesit paraprakisht. Të gjitha masat e sigurisë zbatohen vetëm pas hakimit, që është një nga arsyet kryesore pse ato janë joefektive.
Bazuar në sjelljet e hakerëve, koha është një komponent thelbësor. Masat e sigurisë që mund të ngadalësojnë hakerin ose të informojnë viktimat herët janë çelësi për të fituar betejën. Këtu janë disa masa parandaluese më efektive që mund të zbatohen nga OpenSea:
- Krijoni një sistem paralajmërimi të hershëm që mund të zbulojë aktivitetin jonormal të llogarisë dhe të dërgojë mesazhe me tekst ose njoftime me email për të informuar përdoruesit për një aktivitet të tillë në mënyrë që ata të kenë kohë të mjaftueshme për t'u përgjigjur. Për shembull, nëse llogaria nuk ka blerë ose transferuar kurrë më shumë se një NFT brenda një minute; ose nëse llogaria nuk ka pasur kurrë ndonjë aktivitet në të kaluarën gjatë një periudhe kohe të caktuar (dmth. zonat kohore kur përdoruesi është në gjumë), shfaqja e këtyre aktiviteteve do të zbulohet nga algoritmet e mësimit të makinerive. Mbajtësi i llogarisë mund të zgjedhë të informohet menjëherë ose të lejojë që llogaria të kyçet automatikisht për siguri.
- Jepni përdoruesve mundësinë për të kufizuar numrin maksimal të transfertave ose shitjeve NFT të lejuara brenda një afati kohor, p.sh., maksimumi një transferim ose shitje brenda një minute; ose një interval kohor minimal i vendosur ndërmjet çdo transferimi ose shitjeje, p.sh., transferimi ose shitja tjetër mund të ndodhë vetëm 15 minuta pas asaj të mëparshme. Këto masa mund të parandalojnë hakerat që të vjedhin një numër të madh NFT-sh me një lëvizje.
- Krijoni panele të dyshimta të llogarive që lejojnë viktimat të shtojnë menjëherë llogari të komprometuara dhe llogari të hakerëve për shqyrtim publik. Kjo do t'u japë të gjithë blerësve informacion në kohë reale rreth llogarive të dyshimta dhe aftësinë për të kontrolluar nëse shitësi është në listë përpara se të blejnë. Dëshmi të tilla si një raport policor mund të kërkohen më vonë nga viktima për të vërtetuar se llogaritë e raportuara janë vërtet të komprometuara.
Disa nga këto masa mund të krijojnë alarme të rreme dhe bezdi. Por duke qenë se është një garë kohore kundër hakerit kur bëhet fjalë për masat parandaluese, përdoruesit më mirë do të ishin të sigurt sesa të pendoheshin për të mos u bërë viktima e radhës.
Keqkuptime të zakonshme rreth hakimit të kriptove
Një keqkuptim i zakonshëm në lidhje me hakerimin e kriptove është se "kjo nuk do të ndodhë me mua sepse ndërgjegjësimi im për sigurinë është i lartë dhe përdor një portofol të fortë". Mund të jetë e vërtetë që një hak i drejtpërdrejtë me qëllim të keq mund të shmanget nëpërmjet praktikës së mirë të sigurisë, por çdokush mund të bëhet viktimë indirekte e një hakmarrjeje që synon dikë tjetër. Kur numri i hakimeve rritet, mundësia për t'u bërë viktimë indirekte është gjithashtu shumë më e lartë.
Një tjetër keqkuptim është, "përderisa nuk mbaj shumë para në portofolin tim të nxehtë, nuk ka rëndësi nëse portofoli është i rrezikuar". Ajo që shumica e përdoruesve nuk arrijnë të kuptojnë është se humbja monetare është vetëm një pasojë e hakimit. Humbja e një portofoli Web3 është si të humbasësh të gjithë historinë e kreditit. Çdo përfitim i ardhshëm i bazuar në aktivitetet e kaluara, si p.sh. airdrops ose aksesi në kredi dhe leva, mund të avullojë gjithashtu me portofolin e komprometuar.
Megjithëse blockchain është një nga teknologjitë financiare më të sigurta të krijuara ndonjëherë, hakimet me qëllim të keq drejt platformave të bazuara në kripto janë kërcënimi më i madh për sipërmarrjen Web3.
Duke pasur parasysh natyrën e pakthyeshme të blockchain dhe mungesën e masave parandaluese të sigurisë nga OpenSea, nuk është e vështirë të shihet zgjidhja më e mirë që doli OpenSea pas Hakimi i ankandit të domenit Ethereum është t'i ofrojë hakerit një fitim 25% nga shitja në këmbim të kthimit të NFT-ve të vjedhura. Vetëm në botën e tregut NFT një kriminel mund të shpërblehet në vend që të dënohet për një krim kaq të rëndë.
Si monopol i tregut NFT, OpenSea sigurisht që mund të bëjë më mirë se kaq dhe të marrë masat e sigurisë më seriozisht dhe të sigurojë më shumë mbrojtje për përdoruesit e tij.
Pikëpamjet dhe mendimet e shprehura këtu janë vetëm ato të autorit dhe nuk pasqyrojnë domosdoshmërisht pikëpamjet e Cointelegraph.com. Çdo investim dhe lëvizje tregtare përfshin rrezik, duhet të bëni hulumtimin tuaj kur merrni një vendim.
Burimi: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections