Mae'r farchnad tocynnau anffungible (NFT) wedi bod yn ffynnu ers haf 2021 ac wrth i brisiau'r NFT gynyddu'n aruthrol, felly hefyd nifer yr haciau sy'n targedu NFTs.
Seiffoniodd yr hac proffil uchel mwyaf diweddar tua 600 Ether (ETH) gwerth NFTs gan Arthur0x, sylfaenydd DeFiance Capital, a werthwyd wedyn ar OpenSea.
Amlygodd Adroddiad Troseddau Crypto 2022 a gyhoeddwyd gan Chainalysis fod y gwerth a anfonwyd i farchnadoedd NFT trwy gyfeiriadau anghyfreithlon wedi neidio'n sylweddol yn 2021, gan gyrraedd ychydig o dan $ 1.4 miliwn. Roedd cynnydd amlwg hefyd yn yr arian a ddygwyd a anfonwyd i farchnadoedd yr NFT.
O ystyried y cynnydd cyflym sy'n peri pryder yn y gwerth anghyfreithlon sy'n llifo i lwyfannau'r NFT, mae'n naturiol gofyn a oes mesurau a gweithdrefnau diogelwch yn eu lle ac os felly, a yw'r mesurau hyn yn effeithiol o ran amddiffyn perchnogion.
Gadewch i ni edrych ar OpenSea, y platfform NFT mwyaf, a'i fesurau diogelwch.
Ni all y mesurau diogelwch yn OpenSea amddiffyn defnyddwyr
Mae gan OpenSea ddau brif fesur diogelwch sy'n cychwyn unwaith y bydd cyfrif wedi'i “hacio” - cloi'r cyfrif dan fygythiad a rhwystro'r NFTs sydd wedi'u dwyn. Mae'r ddau fesur hyn yn aneffeithiol iawn wrth edrych arnynt yn fanwl.
Gellir cloi'r cyfrif ar wefan OpenSea heb gymeradwyaeth ddynol fel dangos yma, tra bod blocio'r NFTs yn cynnwys proses hir o godi tocyn ac aros i dîm cymorth OpenSea ymateb.
Mewn sefyllfa lle mae haciwr eisoes wedi peryglu'r waled ac yn y broses o drosglwyddo'r NFTs allan, dim ond os caiff ei wneud cyn i'r haciwr drosglwyddo popeth y bydd cloi'r cyfrif yn effeithiol.
Yn yr un modd, mae blocio'r NFTs hefyd yn effeithiol cyn i'r haciwr werthu'r NFTs i brynwr arall. Yr hyn sydd hyd yn oed yn waeth yw bod y mesur diogelwch hwn yn creu cyfres o ddioddefwyr anuniongyrchol sy'n cael NFTs wedi'u blocio na ellir eu gwerthu na'u trosglwyddo. Mae hyn oherwydd bod yr amser ymateb ar gyfer tocynnau a godir yn OpenSea yn ddiwrnod o leiaf. Erbyn i'r NFTs gael eu rhwystro gan OpenSea, byddent eisoes wedi cael eu gwerthu i brynwr arall sydd bellach yn dod yn ddioddefwr newydd y drosedd.
Yn achos yr Azuki 17 a gafodd ei ddwyn o Arthur0x, cafodd 15 eu dwyn o fewn yr un munud a dau eu dwyn dri munud yn ddiweddarach. Yr amser cyfartalog yr arhosodd yr NFTs hyn sydd wedi'u dwyn yn waled yr haciwr cyn iddynt gael eu gwerthu yw 43 munud. Nid yw'r mesurau diogelwch gan OpenSea yn ymatebol mewn unrhyw ffordd ac yn ddigon cyflym i hysbysu'r dioddefwr ac atal yr haciwr; ni allant ychwaith hysbysu'r prynwyr yn ddigon prydlon i'w hatal rhag prynu'r NFTs sydd wedi'u dwyn a dod yn ddioddefwyr anuniongyrchol.
Mae rhwystro NFTs sydd wedi'u dwyn yn creu dioddefwyr anuniongyrchol
Dioddefwr anuniongyrchol yw rhywun nad yw'n darged i'r darnia ond sy'n dioddef yn anuniongyrchol o'r colledion ariannol a achosir gan rwystro'r NFTs sydd wedi'u dwyn. Fel y gwelir o lawer o haciau NFT diweddar, mae'r NFTs bob amser yn cael eu gwerthu cyn i'r bloc gael ei weithredu gan OpenSea. Canlyniad rhwystro'r NFTs yn rhy hwyr yw ei fod yn creu dioddefwyr anuniongyrchol a mwy o golledion i fwy o bobl.
I ddangos yn fanylach sut y gallai unrhyw un brynu NFT sydd wedi'i ddwyn a dod yn ddioddefwr anuniongyrchol o hac, dyma dri achos cyffredin:
1 Achos: Prynodd Alice NFT ond dim ond yn ddiweddarach y daeth i wybod ei fod yn ased wedi'i ddwyn. Mae'r NFT wedi'i rwystro ac ni all Alice ei werthu na'i drosglwyddo ar OpenSea. Mae hi wedyn yn mynd ati i godi tocyn cymorth. Ar ôl sawl wythnos, mae tîm Ymddiriedolaeth a Diogelwch OpenSea yn cynnig ad-dalu'r ffioedd platfform o 2.5%; ac o bosibl cyfeiriad e-bost y dioddefwr a adroddodd y lladrad os yn ffodus. Yna, mae'n debygol y bydd hi'n cael trafodaeth hir gyda'r dioddefwr i drafod y posibilrwydd o godi'r bloc, a fydd yn fwyaf tebygol yn unman.
Gall Alice barhau i werthu'r NFT mewn marchnadoedd eraill ond mae maint y gwerthiant yn isel iawn ar gyfer y casgliad penodol hwn ac nid oes unrhyw brynwr a all gynnig pris teg ar lwyfannau heblaw OpenSea.
2 Achos: Gwnaeth Alice gynigion lluosog wrth wneud cais am NFTs o gasgliad. Derbyniwyd un o'r cynigion gan yr haciwr, a dderbyniodd y taliad o'r cais yn waled y dioddefwr ac aeth ymlaen i glirio'r waled. Cafodd yr NFT ei rwystro yn ddiweddarach fel rhan o'r asedau a gafodd eu dwyn o drafodion anawdurdodedig gan y dioddefwr.
Mae achosion fel hyn yn aml yn digwydd oherwydd ni all NFTs rhestredig gael eu trosglwyddo oni bai bod y rhestriad yn cael ei ganslo. Bydd yr haciwr, sydd dan bwysau amser, yn fwy tebygol o dderbyn cynnig cynnig a chael yr elw o’r gwerthiant a throsglwyddo’r arian allan. Mae'r achos isod yn dangos sut y cafodd casgliad NFT cyfan y dioddefwr anuniongyrchol ei rwystro gan OpenSea heb esboniad.
Dyma fy edefyn am sut @opensea blocio fy nghyfrif yn afresymol a rhewi fy holl NFTs ar ôl fy nghynnig 40 weth for @BoredApeYC Derbyniwyd #6267.
Rwy'n credu ei bod yn bwysig iawn lledaenu'r achos hwn ymhlith cymuned NFT!
Gadewch i ni ddechrau ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) Tachwedd 10
3 Achos: Mae Alice wedi bod yn berchen ar NFT ers cryn amser ac yn sydyn mae'n cael ei rwystro a'i farcio fel “adroddiad am weithgaredd amheus.” Nid yw cyfrif y gwerthwr yn cael ei beryglu a digwyddodd y trafodiad ychydig yn ôl. Gan nad oes angen tystiolaeth i riportio NFT wedi'i ddwyn a'i rwystro, gall unrhyw un anfon e-bost at dîm gwrth-dwyll OpenSea i rwystro unrhyw NFT.
Er y gellir gofyn am adroddiad gan yr heddlu yn ddiweddarach, nid oes datganiad clir gan OpenSea i nodi'r dystiolaeth sydd ei hangen i brofi'r darnia nac amod ar gyfer adnabod a chodi NFT o'r bloc y rhoddwyd gwybod amdano ar gam. Nid oes unrhyw ganlyniad i roi gwybod ar gam am NFTs sydd wedi'u dwyn.
Mae NFTs yn aml yn cael eu rhwystro heb unrhyw esboniad na thystiolaeth fel adroddiadau heddlu a ddarperir i'r dioddefwr anuniongyrchol. Yn ddamcaniaethol, gellir dal i fasnachu'r NFTs hyn ar lwyfannau eraill, ond o ystyried monopoli OpenSea yn y farchnad, gyda 95% o gyfanswm cyfeintiau masnachu NFT, mae blocio unrhyw NFT ar OpenSea bron yn cyfateb i'w tynnu allan o'r farchnad am byth.
Gallai blocio NFTs gynyddu'r pris yn artiffisial
Y perygl o rwystro NFTs sydd wedi'u dwyn rhag masnachu ar y platfform NFT mwyaf OpenSea yw'r gostyngiad parhaol yn y cyflenwad. Yn seiliedig ar y gyfraith cyflenwad a galw mewn theori economeg, pan fydd cyflenwad yn gostwng, mae'r pris yn codi.
Er enghraifft, mae gan gasgliad Azuki 10,000 o NFTs ac ar hyn o bryd, dim ond 1,100 sydd ar werth ar OpenSea. Arweiniodd hac Arthur0x at ddwyn 17 a'u rhwystro. Er mai dim ond tua 17% o'r cyflenwad cylchredeg 1.5 yw 1,100 NFT, mae'r pris eisoes wedi dangos tueddiad o gynyddu ar ôl y darnia. Digwyddodd yr hac ar Fawrth 22 a'r pris brig ar Fawrth 28 i 20.96 E cyn y cyhoeddiad airdrop ar Fawrth 31 - cynnydd o 55% o fewn wythnos.
Er nad yw pob un o'r 17 NFT a ddwynwyd yn cael eu rhwystro gan fod Arthur wedi llwyddo i adennill rhai trwy drafod gyda'r dioddefwyr anuniongyrchol i'w prynu yn ôl, bydd haciau ar ffurf debyg yn y dyfodol yn digwydd yn barhaus a gall y nifer cronnus o NFTs sydd wedi'u blocio gynyddu dim ond wrth i haciau barhau a nid oes gweithdrefnau ar waith i'w dadflocio.
Gan ddefnyddio Azuki fel enghraifft eto, mae'r graff isod yn casglu'r nifer hanesyddol o werthiannau a phris cyfartalog i greu cromlin galw ac yn rhagdybio bod y gromlin cyflenwad yn llinol. Y pwynt lle mae cromliniau cyflenwad a galw yn croestorri yw'r pris ecwilibriwm.
Wrth i'r cyflenwad leihau'n barhaus, mae cyflymder y cynnydd yn y pris yn dod yn gyflymach wrth i lethr y gromlin galw fynd yn fwy serth. Mae gostyngiad cyfartal o 300 NFTs mewn cyflenwad o 1,000 i 700 yn erbyn o 700 i 400 yn arwain at gynnydd pris mwy ar gyfer yr olaf.
Fel y dangosir yn y graff isod, mae'r pris yn cynyddu o 15 ETH i 21 ETH o'r gostyngiad 1,000 i 700, ond yn cynyddu mwy o 21 ETH i 28 ETH o'r gostyngiad 700 i 400.
Mae'n amlwg y gallai blocio'r NFTs sydd wedi'u dwyn gynyddu pris y casgliad yn artiffisial. Pe bai rhywun am fanteisio ar y bwlch yn system ddiogelwch OpenSea trwy riportio llawer o NFTs o'r un casgliad â rhai sydd wedi'u dwyn (gan nad oes angen tystiolaeth i adrodd am NFTs wedi'u dwyn), gallai pris y casgliad gynyddu'n sylweddol os yw'r cyflenwad yn isel. . Gallai'r bwlch hwn greu cyfleoedd i drin prisiau yn y farchnad NFT anhylif.
Mewn unrhyw achos, nid yw blocio NFTs yn fesur effeithiol i atal y darnia neu gosbi'r haciwr, ond i'r gwrthwyneb, mae'n creu mwy o ddioddefwyr anuniongyrchol a bylchau ar gyfer manipulators marchnad. Yn sicr nid dyma’r ffordd i fynd, felly a oes unrhyw fesur diogelwch effeithiol?
Mae angen i fesurau ataliol a system sy'n seiliedig ar dystiolaeth fod yn eu lle
Nid oes gan system ddiogelwch gyfredol OpenSea unrhyw fesurau ataliol ar waith i amddiffyn defnyddwyr ymlaen llaw. Dim ond ar ôl y darnia y gweithredir yr holl fesurau diogelwch, sef un o'r prif resymau pam eu bod yn aneffeithiol.
Yn seiliedig ar ymddygiad yr hacwyr, mae amser yn elfen hanfodol. Mesurau diogelwch a all arafu'r haciwr neu hysbysu'r dioddefwyr yn gynnar yw'r allweddi i ennill y frwydr. Dyma rai mesurau ataliol mwy effeithiol y gall OpenSea eu gweithredu:
- Creu system rhybudd cynnar a all ganfod gweithgarwch cyfrif annormal ac anfon negeseuon testun sydyn neu rybuddion e-bost i hysbysu defnyddwyr am weithgarwch o'r fath fel bod ganddynt ddigon o amser i ymateb. Er enghraifft, os nad yw'r cyfrif erioed wedi prynu neu drosglwyddo mwy nag un NFT o fewn un munud; neu os nad yw'r cyfrif erioed wedi cael unrhyw weithgareddau yn y gorffennol yn ystod cyfnod amser penodol (hy parthau amser pan fydd y defnyddiwr yn cysgu), bydd gweithgaredd o'r fath yn cael ei ganfod gan algorithmau dysgu peirianyddol. Gall deiliad y cyfrif ddewis cael gwybod ar unwaith, neu ganiatáu i'r cyfrif gael ei gloi'n awtomatig er diogelwch.
- Rhoi'r opsiwn i ddefnyddwyr gyfyngu ar y nifer uchaf o drosglwyddiadau neu werthiannau NFT a ganiateir o fewn amserlen, hy, uchafswm o un trosglwyddiad neu werthiant o fewn un munud; neu isafswm cyfnod amser rhwng pob trosglwyddiad neu werthiant, hy, dim ond 15 munud ar ôl yr un blaenorol y gall y trosglwyddiad neu werthiant nesaf ddigwydd. Gall y mesurau hyn atal hacwyr rhag dwyn nifer fawr o NFTs ar yr un pryd.
- Creu dangosfyrddau cyfrifon amheus sy'n caniatáu i ddioddefwyr ychwanegu cyfrifon dan fygythiad a chyfrifon haciwr ar unwaith i'r cyhoedd graffu arnynt. Bydd hyn yn rhoi gwybodaeth amser real i bob prynwr am gyfrifon amheus a'r gallu i groeswirio a yw'r gwerthwr ar y rhestr cyn iddynt brynu. Gellir gofyn am dystiolaeth fel adroddiad heddlu yn ddiweddarach gan y dioddefwr i brofi bod y cyfrifon a adroddwyd yn wir dan fygythiad.
Gallai rhai o'r mesurau hyn greu galwadau diangen ac anghyfleustra. Ond o ystyried ei bod yn ras o amser yn erbyn y haciwr o ran mesurau ataliol, byddai'n well gan ddefnyddwyr fod yn ddiogel nag yn ddrwg gennym i osgoi dod yn ddioddefwr nesaf.
Camsyniadau cyffredin am hacio crypto
Camsyniad cyffredin am hacio crypto yw “ni fydd hyn yn digwydd i mi oherwydd bod fy ymwybyddiaeth o ddiogelwch yn uchel ac rwy'n defnyddio waled caled.” Gallai fod yn wir y gellid osgoi darnia maleisus uniongyrchol trwy arferion diogelwch da, ond gallai unrhyw un ddod yn ddioddefwr anuniongyrchol o hac sy'n targedu rhywun arall. Pan fydd nifer yr haciau yn cynyddu, mae'r siawns o ddod yn ddioddefwr anuniongyrchol hefyd yn llawer uwch.
Camsyniad arall yw, “cyn belled nad ydw i’n cadw gormod o arian yn fy waled boeth, does dim ots a yw’r waled mewn perygl.” Yr hyn y mae'r rhan fwyaf o ddefnyddwyr yn methu â sylweddoli yw mai dim ond un ôl-effeithiau o'r darnia yw colled ariannol. Mae colli waled Web3 fel colli eich hanes credyd cyfan. Gallai unrhyw fuddion yn y dyfodol yn seiliedig ar weithgareddau'r gorffennol megis diferion aer neu fynediad at fenthyciadau a throsoledd hefyd anweddu gyda'r waled dan fygythiad.
Er bod blockchain yn un o'r technolegau ariannol mwyaf diogel a grëwyd erioed, haciau maleisus tuag at lwyfannau crypto yw'r bygythiad mwyaf i fenter Web3.
O ystyried natur anwrthdroadwy blockchain a diffyg mesurau diogelwch ataliol OpenSea, nid yw'n anodd gweld yr ateb gorau a luniwyd gan OpenSea ar ôl y darnia arwerthiant parth Ethereum yw cynnig elw o 25% i'r haciwr o'r gwerthiant yn gyfnewid am ddychwelyd yr NFTs sydd wedi'u dwyn. Dim ond ym myd y farchnad NFT y gall troseddwr gael ei wobrwyo yn hytrach na'i gosbi am drosedd mor ddifrifol.
Fel monopoli marchnad NFT, gall OpenSea yn sicr wneud yn well na hyn a chymryd mesurau diogelwch yn fwy difrifol a darparu mwy o amddiffyniad i'w ddefnyddwyr.
Barn yr awdur yn unig yw'r safbwyntiau a'r safbwyntiau a fynegir yma ac nid ydynt o reidrwydd yn adlewyrchu barn Cointelegraph.com. Mae pob symudiad buddsoddi a masnachu yn cynnwys risg, dylech gynnal eich ymchwil eich hun wrth wneud penderfyniad.
Ffynhonnell: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections