האם התקפות האחרונות הן הראשונות מבין רבות שיבואו?

שוד NFT מגיע לחדשות. הנה איך אתה יכול להגן על עצמך, אומר Indrė Viltrakytė, מייסד שותף של ה המורדים.

התקפות פישינג אינן חדשות. לפעמים, קל לזהות אותם. כמו כשההנחיות מגיעות עם בקשה לשלוח את פרטי הבנק שלך לנסיך מארץ זרה רחוקה. אבל לפעמים, קשה יותר לזהות אותם. כמו כאשר בקשה לאשר את שחרור הנכסים שלך מגיעה ממקור אמין לכאורה.

זה מה שקרה לאחרונה במקרה של גניבת דיוג NFT. משתמשים סמכו על תוכנית שכללה את פלטפורמת Premint. המשתמשים הסכימו להנחיה לאשר ישות לא ידועה לשלוט בנכסיהם. 

ב-17 ביולי 2022, פלטפורמת NFT פופולרית, Premint NFT, נפרצה. 314 NFTs בשווי 430,000 דולר נגנבו. העבריינים הצליחו לשתול קוד זדוני באתר הרשמי של Premint. הקוד הורה למשתמשים "להגדיר אישורים לכולם" בעת חיבור הארנקים הדיגיטליים שלהם לאתר. זה אפשר לתוקפים לגשת לנכסי הקריפטו שלהם ולגנוב את ה-NFT שלהם. 

העולם החדש של NFTs - אוסף אמנות דיגיטלית - עשוי לעמוד בתור לעוד התקפות דיוג. 

שוד NFT: מה נגנב?

בדרך כלל כאשר אנו שומעים את המילה NFT, אנו חושבים על תמונה דיגיטלית שהיא ייחודית ומחוברת לבלוקצ'יין. עם זאת, זה יותר משוכלל מזה. כשמדברים על NFTs, מעקב הבעלות והייחודיות תמיד מודגשים. אבל בשום מקום בתקן NFT, מצוין מה מייצגים האסימונים הייחודיים. במהות שלו, האסימונים הם רק מספרים ייחודיים. המחברים של אוסף NFT הם שמגדירים מה האסימונים הללו מייצגים.

יתר על כן, תמונות בדרך כלל אף פעם לא מועלות ל- ארנק הצפנה." הם אינם חלק מחוזה ה-NFT. ייתכן ש-hash של התמונה ייכתב בחוזה כדי ליצור קשר עם הדבר שה-NFT מייצג. כמו כן, NFT כסטנדרט אינו דואג לערך או לפעולות הקנייה והמכירה של ה-NFTs. הוא מספק רק שיטות סטנדרטיות להעברת הבעלות על NFT. אלה השווקים והקהילה שבונים על זה ומתייחסים ל-NFTs כאל סחורה. 

כסחורה, NFTs נרכשים בעיקר כפריטי אספנות, המשמשים לרוב למטרות השקעה. הם פיתחו מקרי שימוש מעשיים רק לאחרונה. דוגמה היא אופנה דיגיטלית לבישים ב- Metaverse.

מה ניתן לעשות בעתיד?

את מי להאשים? האם זה המשתמש? או הפלטפורמה, שאפשרה לתוקף ליזום עסקת הונאה?

במקרה הספציפי הזה, התוקפים הצליחו להציג תוכן כדי להערים על המשתמש לחתום על העסקה המרמה. 

סיבה מעורפלת, שנשמעת מתקבלת על הדעת, לעסקה בשילוב עם אמון באתר הספיקה כדי לשטות ברבים. עם זאת, אין זה הגיוני לצפות שמשתמש Web3 הממוצע יוכל לעקוף אותו. לרובם לא היה רקע טכנולוגי חזק מספיק כדי לשים לב שהעסקה למעשה מעניקה למישהו גישה ל-NFT שלו.

אפשר להערים על משתמשים לחתום על עסקאות אם זה יזום על ידי אתר מהימן. הנכסים בארנקי המשתמשים בטוחים רק כמו כל האפליקציות המבוזרות (dapps) שהמשתמש מתקשר איתן ביחד. מקרים זהים צפויים להתרחש בעתיד.

הדרכים אבטחה יכול להשתפר:

1. ארנקים יכולים להציג מידע בעל אוריינטציה אנושית יותר עבור סוגי אינטראקציות ידועים בחוזה. לדוגמה, הודעה אדומה ענקית האומרת, "היי, אתה נותן למישהו שליטה על כל ה-NFT שלך!" זה יהיה הרבה יותר טוב מהקבוע הנוכחי "SET APPROVAL FOR ALL" באפור בחלון אישור העסקה של MetaMask.

2. אתרי אינטרנט יכולים לרשום ולפרסם את אינטראקציות החוזה שהם עשויים ליזום. הספקים אוהבים מטאמאסק יכול לסרב לכל עסקה לא סטנדרטית.

שוד NFT: כיצד משתמשים יכולים להגן על עצמם

– עיין בפרטי העסקה לפני החתימה. זה לא יגן על המשתמש ב-100% מהזמן. אבל סקירת שיטה באיזה חוזה היא קריטית.

- הפרד NFTs (ונכסי קריפטו אחרים) למספר ארנקים. אם מרמים את המשתמשים לתת למישהו שליטה על הנכסים שלהם באחד ארנק, לפחות הנכסים בארנקים אחרים בטוחים. זה כל עוד אינך חולק את המפתח הפרטי שלך או את ביטוי המקור.

- השתמש בארנקים שונים עבור דפים שונים. זה לא תמיד מעשי לעשות זאת כאשר ה-dapp נועד לקיים אינטראקציה עם נכסים אחרים בארנק. עם זאת, חשוב לנסות לשמור רק את מה שרלוונטי.

על המחבר 

Indrė Viltrakytė הוא המייסד המשותף של מיזם האופנה Web3 המורדים. יש לו 10101 דמויות ייחודיות המבוססות על מסע הפרסום השנוי במחלוקת "ישו, מריה". הקמפיין נאסר אך מאוחר יותר מצא צדק בבית הדין האירופי לזכויות אדם, שפסק לטובת המותג. התיק מתנהל כעת כתקדים במקרים הקשורים לחופש הביטוי באיחוד האירופי. Indrė Viltrakytė בעל ניסיון של 10+ שנים בתעשיית האופנה.  

יש לך משהו להגיד על שוד NFT או כל דבר אחר? כתוב לנו או הצטרף לדיון שלנו ערוץ טלגרם. אתה יכול גם לתפוס אותנו תיק Tok, פייסבוק, או טויטר.

כתב ויתור

כל המידע הכלול באתרנו מתפרסם בתום לב ולמידע כללי בלבד. כל פעולה שהקורא מבצע על המידע המצוי באתרנו הינה על אחריותם בלבד.