הנה איך פריצות ל-OpenSea NFT פוגעות בבעלים, בקונים ואפילו באוספים שלמים

שוק האסימונים הבלתי ניתנים (NFT) פורח מאז קיץ 2021 וכאשר מחירי ה-NFT זינקו, כך גם עלה מספר הפריצות ל-NFT.

הפריצה המתוקשרת האחרונה סיפקה כ-600 אתר (ETH) בשווי NFTs מאת Arthur0x, מייסד DeFiance Capital, שנמכרו אז ב-OpenSea.

דו"ח קריפטו 2022 שפורסם על ידי Chainalysis הדגיש כי הערך שנשלח לשוק NFT על ידי כתובות לא חוקיות קפץ משמעותית בשנת 2021, והגיע לרמה של קצת פחות מ-1.4 מיליון דולר. הייתה גם עלייה ברורה בכספים גנובים שנשלחו לשוק NFT.

*ערך בלתי חוקי הכולל זורם לפלטפורמות NFT. מקור: Chainalysis Crypto Crime Report 2022*

בהתחשב בעלייה המהירה הנוגעת לערך הבלתי חוקי הזורם לפלטפורמות ה-NFT, טבעי לשאול האם קיימים אמצעי אבטחה ונהלי אבטחה ואם כן, האם אמצעים אלו יעילים בהגנה על בעלים.

בואו נסתכל על OpenSea, פלטפורמת ה-NFT הגדולה ביותר, ואמצעי האבטחה שלה.

אמצעי האבטחה ב-OpenSea אינם יכולים להגן על המשתמשים

ל-OpenSea יש שני אמצעי אבטחה עיקריים שנכנסים לאחר שחשבון "נפרץ" - נעילת החשבון שנפרץ וחסימת ה-NFT הגנובים. שני אמצעים אלה מאוד לא יעילים כשמסתכלים עליהם מקרוב.

נעילת החשבון יכולה להתבצע באתר OpenSea ללא אישור אנושי כמו הראה כאן, בעוד שחסימת ה-NFTs כרוכה בתהליך ממושך של העלאת כרטיס והמתנה לצוות העזרה של OpenSea להגיב.

במצב בו האקר כבר התפשר על הארנק ונמצא בתהליך של העברת ה-NFTs החוצה, נעילת החשבון תהיה יעילה רק אם היא תבוצע לפני שההאקר יעביר הכל החוצה.

באופן דומה, חסימת ה-NFTs יעילה רק לפני שה-NFTs נמכרים לקונה אחר על ידי ההאקר. מה שגרוע עוד יותר הוא שאמצעי האבטחה הזה יוצר סדרה של קורבנות עקיפים שבסופו של דבר מגיעים עם NFTs חסומים שלא ניתן למכור או להעביר. הסיבה לכך היא שזמן התגובה לכרטיסים שגויסו ב-OpenSea הוא לפחות יום אחד. עד שה-NFT ייחסמו על ידי OpenSea, הם כבר היו נמכרים לקונה אחר שהופך כעת לקורבן החדש של הפשע.

במקרה של 17 Azuki שנגנבו מ-Arthur0x, 15 נגנבו תוך אותה דקה ושניים נגנבו שלוש דקות לאחר מכן. הזמן הממוצע של ה-NFT הגנובים האלה נשארו בארנק של ההאקר לפני שהם נמכרו הוא 43 דקות. אמצעי האבטחה מבית OpenSea אינם מגיבים ומהירים מספיק כדי ליידע את הקורבן ולעצור את ההאקר; הם גם לא יכולים ליידע את הקונים באופן מיידי מספיק כדי למנוע מהם לקנות את ה-NFTs הגנובים ולהפוך לקורבנות עקיפים.

*גנבי Azuki NFT מ-Aurther0x. מָקוֹר:* *Etherscan.io*

חסימת NFTs גנובים יוצרת קורבנות עקיפים

קורבן עקיף הוא מי שאינו היעד לפריצה אלא סובל בעקיפין מההפסדים הכספיים הנגרמים מחסימת ה-NFT הגנובים. כפי שניתן לראות מפריצות NFT רבות אחרונות, ה-NFTs נמכרים תמיד לפני שהחסימה מיושמת על ידי OpenSea. התוצאה של חסימת ה-NFTs מאוחר מדי היא שהיא יוצרת קורבנות עקיפים ויותר הפסדים ליותר אנשים.

כדי להמחיש ביתר פירוט כיצד כל אחד יכול בסופו של דבר לקנות NFT גנוב ולהפוך לקורבן עקיף של פריצה, הנה שלושה מקרים נפוצים:

1 מקרה: אליס קנתה NFT אבל רק מאוחר יותר גילתה שזה נכס גנוב. ה-NFT חסום ואליס לא יכולה למכור או להעביר אותו ב-OpenSea. לאחר מכן היא ממשיכה לגייס כרטיס תמיכה. לאחר מספר שבועות, צוות OpenSea Trust & Safety מציע להחזיר את 2.5% עמלות הפלטפורמה; ואולי כתובת המייל של הקורבן שדיווח על הגניבה אם התמזל מזלו. לאחר מכן, סביר להניח שהיא תנהל דיון ארוך עם הקורבן כדי לנהל משא ומתן על האפשרות להסיר את החסימה, שככל הנראה לא תיגמר בשום מקום.

אליס עדיין יכולה למכור את ה-NFT בשווקים אחרים, אבל נפח המכירות נמוך מאוד עבור האוסף המסוים הזה ואין קונה שיכול להציע מחיר הוגן בפלטפורמות אחרות מלבד OpenSea.

*תגובת OpenSea לקורבן עקיף שרכש NFT גנוב*

2 מקרה: אליס הציעה מספר הצעות בזמן שהציעה הצעות NFT מאוסף. אחת ההצעות התקבלה על ידי ההאקר, ולאחר מכן קיבל את התשלום מההצעה בארנקו של הקורבן והמשיך בפינוי הארנק. ה-NFT נחסם מאוחר יותר כחלק מהנכסים הגנובים מעסקאות לא מורשות על ידי הקורבן.

מקרים כאלה קורים לעתים קרובות מכיוון שלא ניתן להעביר NFTs רשומים אלא אם הרישום מבוטל. להאקר, שנמצא בלחץ זמן, יהיה סיכוי גבוה יותר לקבל הצעת הצעה ולקבל את התמורה מהמכירה ולהעביר את הכסף החוצה. המקרה שלהלן מראה כיצד כל אוסף ה-NFT של הקורבן העקיף נחסם על ידי OpenSea ללא הסבר.

הנה השרשור שלי על איך @opensea חסם את החשבון שלי באופן בלתי סביר והקפיא את כל ה-NFTs שלי לאחר הצעתי 40 weth עבור @BoredApeYC #6267 התקבל.
אני חושב שזה מאוד חשוב להפיץ את המקרה הזה בקרב קהילת NFT!
בואו נתחיל ⬇️ pic.twitter.com/xnxctpzzpL
— Mpa3yka (@Mpa3yka) 10 בנובמבר 2021

3 מקרה: אליס מחזיקה ב-NFT כבר די הרבה זמן ופתאום הוא נחסם ומסומן כ"דווח על פעילות חשודה". חשבון המוכר לא נפגע והעסקה בוצעה לפני זמן מה. מכיוון שלא נדרשות ראיות כדי לדווח על NFT גנוב ולחסום אותו, כל אחד יכול לשלוח אימייל לצוות נגד הונאה של OpenSea כדי לחסום כל NFT.

למרות שניתן לבקש דו"ח משטרה מאוחר יותר, אין הצהרה ברורה של OpenSea לציון הראיות הדרושות להוכחת הפריצה וגם לא תנאי שבו ניתן לזהות NFT שנגנב שדווח כוזב ולהסיר אותו מהחסימה. אין תוצאה לדיווח כוזב על NFTs גנובים.

NFTs נחסמים לעתים קרובות ללא הסבר או ראיות כגון דוחות משטרה הנמסרים לקורבן העקיף. תיאורטית, עדיין ניתן לסחור ב-NFTs אלו בפלטפורמות אחרות, אך בהתחשב במונופול של OpenSea בשוק, עם 95% מסך נפחי המסחר ב-NFT, חסימת כל NFT ב-OpenSea שווה כמעט להוצאתם מהשוק לנצח.

חסימת NFTs עשויה להעלות את המחיר באופן מלאכותי

הסכנה בחסימת NFT גנובים ממסחר בפלטפורמת ה-NFT הגדולה ביותר OpenSea היא הפחתה קבועה בהיצע. מבוסס על ה חוק היצע וביקוש בתיאוריה הכלכלית, כשההיצע יורד, המחיר עולה.

כדוגמה, לקולקציית Azuki יש 10,000 NFTs וכרגע, רק 1,100 נמכרים ב-OpenSea. הפריצה של Arthur0x הביאה לכך ש-17 נגנבו ונחסמו. למרות ש-17 NFTs הם רק כ-1.5% מ-1,100 ההיצע במחזור, המחיר כבר הראה מגמה של עלייה לאחר הפריצה. הפריצה אירעה ב-22 במרץ והמחיר הגיע לשיא ב-28 במרץ עד 20.96 E לפני הכרזת הירידה ב-31 במרץ - עלייה של 55% תוך שבוע.

*מכירות Azuki ומחיר ממוצע לאחר הפריצה. מקור: OpenSea*

למרות שלא כל 17 מכשירי ה-NFT הגנובים חסומים מכיוון שארתור הצליח לשחזר חלקם באמצעות משא ומתן עם הקורבנות העקיפים כדי לקנות אותם בחזרה, פריצות עתידיות בצורה דומה יתרחשו ברציפות והמספר המצטבר של מכשירי NFT חסומים יכול רק לגדול ככל שהפריצות יימשכו. אין נהלים לביטול החסימה שלהם.

בעזרת Azuki שוב כדוגמה, הגרף שלהלן אוסף את המספר ההיסטורי של המכירות והמחיר הממוצע כדי ליצור עקומת ביקוש ומניח שעקומת ההיצע היא ליניארית. הנקודה שבה עקומות ההיצע והביקוש מצטלבות היא מחיר שיווי המשקל.

ככל שההיצע יורד ללא הרף, מהירות העלייה במחיר נעשית מהירה יותר ככל שהשיפוע של עקומת הביקוש נעשה תלול יותר. ירידה שווה של 300 NFTs בהיצע מ-1,000 ל-700 לעומת 700 ל-400 מביאה לעליית מחירים גדולה יותר עבור האחרונים.

כפי שמוצג בגרף למטה, המחיר עולה מ-15 ETH ל-21 ETH מההפחתה של 1,000 ל-700, אך עולה יותר מ-21 ETH ל-28 ETH מההפחתה של 700 ל-400.

*עקומת ההיצע והביקוש של Azuki מבוססת על מכירות ומחירים מבית OpenSea*

ברור לראות שחסימת ה-NFT הגנובים עלולה לייקר באופן מלאכותי את מחיר האוסף. אם מישהו רצה לנצל את הפרצה במערכת האבטחה של OpenSea על ידי דיווח כוזב על NFTs רבים מאותו אוסף כגנוב (מכיוון שלא נדרשות ראיות לדיווח NFTs גנובים), מחיר האוסף עלול לעלות באופן דרמטי אם ההיצע נמוך . פרצה זו עלולה ליצור הזדמנויות למניפולציה במחירים בשוק ה-NFT הבלתי נזיל.

בכל מקרה, חסימת NFTs אינה אמצעי יעיל לעצור את הפריצה או להעניש את ההאקר, אלא להיפך, יוצרת יותר קורבנות עקיפים ופרצות למניפולטורים של השוק. זו בהחלט לא הדרך ללכת, אז האם יש אמצעי אבטחה יעיל?

צריך להיות אמצעי מניעה ומערכת מבוססת ראיות

למערכת האבטחה הנוכחית של OpenSea אין אמצעי מניעה כדי להגן על המשתמשים מראש. כל אמצעי הבטיחות מיושמים רק לאחר הפריצה, וזו אחת הסיבות העיקריות לכך שהם לא יעילים.

בהתבסס על התנהגויות ההאקרים, זמן הוא מרכיב חיוני. אמצעי אבטחה שיכולים להאט את ההאקר או ליידע את הקורבנות מוקדם הם המפתחות לניצחון בקרב. הנה כמה אמצעי מניעה יעילים יותר שניתן ליישם על ידי OpenSea:

צור מערכת אזהרה מוקדמת שיכולה לזהות פעילות חריגה בחשבון ולשלוח הודעות טקסט מיידיות או התראות באימייל כדי ליידע את המשתמשים על פעילות כזו כדי שיהיה להם מספיק זמן להגיב. לדוגמה, אם החשבון מעולם לא קנה או העביר יותר מ-NFT אחד בתוך דקה אחת; או אם לחשבון מעולם לא היו פעילויות כלשהן בעבר במהלך פרק זמן מסוים (כלומר אזורי זמן שבהם המשתמש ישן), התרחשותן של פעילויות כאלה תזוהה על ידי אלגוריתמים של למידת מכונה. בעל החשבון יכול לבחור לקבל הודעה מיידית, או לאפשר נעילה אוטומטית של החשבון ליתר ביטחון.

לספק למשתמשים אפשרות להגביל את המספר המרבי של העברות או מכירות NFT המותרות במסגרת זמן, כלומר, לכל היותר העברה או מכירה אחת בתוך דקה אחת; או מרווח זמן מינימלי שנקבע בין כל העברה או מכירה, כלומר, ההעברה או המכירה הבאה יכולה להתרחש רק 15 דקות לאחר הקודמת. אמצעים אלה יכולים למנוע מהאקרים לגנוב מספר רב של NFTs במכה אחת.

צור לוחות מחוונים של חשבונות חשודים המאפשרים לקורבנות להוסיף באופן מיידי חשבונות שנפגעו וחשבונות האקרים לצורך בדיקה ציבורית. זה ייתן לכל הקונים מידע בזמן אמת על חשבונות חשודים ויכולת לבדוק אם המוכר נמצא ברשימה לפני שהם קונים. ניתן לבקש מאוחר יותר מהקורבן ראיות כגון דו"ח משטרה כדי להוכיח שהחשבונות המדווחים אכן נפגעו.

חלק מהאמצעים הללו עלולים ליצור אזעקות שווא ואי נוחות. אבל בהתחשב במרוץ הזמן נגד ההאקר בכל הנוגע לאמצעי מניעה, המשתמשים מעדיפים להיות בטוחים מאשר להצטער כדי להימנע מלהפוך לקורבן הבא.

תפיסות שגויות נפוצות לגבי פריצת קריפטו

תפיסה שגויה נפוצה לגבי פריצת קריפטו היא ש"זה לא יקרה לי כי המודעות שלי לאבטחה גבוהה ואני משתמש בארנק קשיח". אולי זה נכון שאפשר למנוע פריצה זדונית ישירה באמצעות שיטות אבטחה טובות, אבל כל אחד יכול להפוך לקורבן עקיף של פריצה המכוונת למישהו אחר. כאשר מספר הפריצות גדל, הסיכוי להפוך לקורבן עקיף גם הוא הרבה יותר גבוה.

תפיסה שגויה נוספת היא, "כל עוד אני לא מחזיק יותר מדי כסף בארנק החם שלי, זה לא משנה אם הארנק נפגע". מה שרוב המשתמשים לא מבינים הוא שהפסד כספי הוא רק השלכה אחת של הפריצה. לאבד ארנק Web3 זה כמו לאבד את כל היסטוריית האשראי שלך. כל הטבות עתידיות המבוססות על פעילויות קודמות כגון ירי אוויר או גישה להלוואות ומינוף עלולות גם להתאדות עם הארנק שנפגע.

למרות שבלוקצ'יין היא אחת הטכנולוגיות הפיננסיות המאובטחות ביותר שנוצרו אי פעם, פריצות זדוניות לפלטפורמות מבוססות קריפטו הן האיום הגדול ביותר למיזם Web3.

בהתחשב באופיו הבלתי הפיך של הבלוקצ'יין והיעדר אמצעי אבטחה מונעים של OpenSea, לא קשה לראות את הפתרון הטוב ביותר ש-OpenSea המציא לאחר פריצה למכירה פומבית של דומיין Ethereum היא להציע להאקר רווח של 25% מהמכירה בתמורה להחזרת ה-NFT הגנובים. רק בעולם של שוק ה-NFT יכול פושע לקבל תגמול במקום להיענש על פשע כה חמור.

בתור המונופול של שוק ה-NFT, OpenSea בהחלט יכולה לעשות יותר טוב מזה ולקחת את אמצעי האבטחה בצורה רצינית יותר ולספק יותר הגנה למשתמשים שלה.

הדעות והדעות המובעות כאן הן אך ורק של המחבר ולא בהכרח משקפות את דעותיו של Cointelegraph.com. כל השקעה ומסחר לזוז כרוכה בסיכון, אתה צריך לנהל את המחקר שלך בעת קבלת החלטה.