NFT-overvallen komen in het nieuws. Hier hoe je jezelf kunt beschermen, zegt Indr Viltrakyte, mede-oprichter van de De Rebels.
Phishing-aanvallen zijn niet nieuw. Soms zijn ze gemakkelijk te herkennen. Zoals wanneer de prompts komen met een verzoek om uw bankgegevens naar een prins uit een ver vreemd land te sturen. Maar soms zijn ze moeilijker te herkennen. Zoals wanneer een verzoek om de vrijgave van uw activa goed te keuren afkomstig is van een schijnbaar betrouwbare bron.
Dit is wat er onlangs gebeurde in een NFT phishing diefstalzaak. Gebruikers vertrouwden op een schema waarbij de Premint-platform. De gebruikers stemden in met een prompt om een onbekende entiteit goed te keuren om hun activa te beheren.
Op 17 juli 2022 werd een populair NFT-platform, Premint NFT, gehackt. 314 NFT's ter waarde van $ 430,000 werden gestolen. Daders konden kwaadaardige code op de officiële website van Premint plaatsen. De code instrueerde gebruikers om "goedkeuringen voor iedereen in te stellen" bij het verbinden van hun digitale portemonnee met de site. Hierdoor konden de aanvallers toegang krijgen tot hun crypto-activa en hun NFT's stelen.
De nieuwe wereld van NFT's - digitale kunstcollectie - staat mogelijk in de rij voor meer phishing-aanvallen.
NFT-overvallen: wat wordt er gestolen?
Wanneer we het woord NFT horen, denken we meestal aan een digitaal beeld dat uniek is en verbonden is met de blockchain. Het is echter uitgebreider dan dat. Wanneer we het hebben over NFT's, worden het volgen van eigendom en uniciteit altijd geaccentueerd. Maar nergens in de NFT-standaard staat waar de unieke tokens voor staan. In wezen zijn de tokens slechts unieke nummers. Het zijn de auteurs van de NFT-collectie die bepalen wat deze tokens vertegenwoordigen.
Bovendien worden afbeeldingen meestal nooit "geupload naar de" crypto portemonnee.” Ze maken geen deel uit van het NFT-contract. Een hash van de afbeelding kan in het contract worden geschreven om een verbinding te maken met het ding dat de NFT vertegenwoordigt. Ook houdt NFT zich standaard niet bezig met de waarde of de aan- en verkooptransacties van de NFT's. Het levert alleen standaardmethoden om het NFT-eigendom over te dragen. Het zijn de marktplaatsen en de gemeenschap die daarop voortbouwen en de NFT's als handelswaar behandelen.
Als handelswaar worden NFT's meestal gekocht als verzamelobjecten, vaak gebruikt voor investeringsdoeleinden. Ze hebben pas onlangs praktische use-cases ontwikkeld. Een voorbeeld is: digitale mode-wearables in de Metavers.
Wat kan er in de toekomst gedaan worden?
Wie is de schuldige? Is het de gebruiker? Of het platform waarmee een aanvaller een frauduleuze transactie kon initiëren?
In dit specifieke geval waren de aanvallers in staat om inhoud weer te geven om de gebruiker te misleiden om de frauduleuze transactie te ondertekenen.
Een vage, plausibel klinkende reden voor de transactie in combinatie met vertrouwen in de website was genoeg om velen voor de gek te houden. Dat gezegd hebbende, is het onredelijk om te verwachten dat de gemiddelde Web3-gebruiker het zou kunnen omzeilen. De meesten hadden niet voldoende technische achtergrond om op te merken dat de transactie iemand daadwerkelijk toegang gaf tot zijn of haar NFT's.
Het is mogelijk om gebruikers te misleiden om transacties te ondertekenen als dit wordt geïnitieerd door een vertrouwde website. De activa in de portefeuilles van de gebruikers zijn slechts zo veilig als ALLE gedecentraliseerde applicaties (dapps) waarmee de gebruiker samenwerkt. In de toekomst zullen zich waarschijnlijk identieke gevallen voordoen.
De manieren veiligheid kan verbeterd worden:
1. Portefeuilles kunnen meer mensgerichte informatie weergeven voor bekende soorten contractinteractie. Bijvoorbeeld een enorm rood bericht met de tekst: "Hé, je geeft de controle over al je NFT's aan iemand!" Dat zou veel beter zijn dan de huidige hoofdletters "GOEDKEURING VOOR ALLEN" in grijs in het transactiebevestigingsvenster van MetaMask.
2. Websites kunnen de contractinteracties die ze mogelijk initiëren, vermelden en publiceren. De aanbieders houden van MetaMask niet-standaardtransacties zou kunnen weigeren.
NFT-overval: hoe kunnen gebruikers zichzelf beschermen?
– Controleer de transactiegegevens voordat u ondertekent. Dit zal de gebruiker niet 100% van de tijd beschermen. Maar het is cruciaal om te beoordelen welke methode op welk contract is.
- Scheid NFT's (en andere crypto-activa) in meerdere portefeuilles. Als de gebruikers worden misleid om iemand in één keer de controle over hun activa te geven portemonnee, in ieder geval zijn de activa in andere portefeuilles veilig. Dit is zolang u uw privésleutel of de seed-zin niet deelt.
- Gebruik verschillende portefeuilles voor verschillende dapps. Het is niet altijd praktisch om dit te doen wanneer de dapp bedoeld is om te communiceren met andere activa in de portemonnee. Het is echter belangrijk om te proberen alleen te behouden wat relevant is.
Over de auteur
Indrė Viltrakytė is de mede-oprichter van de Web3-modeonderneming De Rebels. Het heeft 10101 unieke karakters gebaseerd op de controversiële "Jesus, Maria"-advertentiecampagne. De campagne werd verboden, maar vond later gerechtigheid bij het Europese Hof voor de Rechten van de Mens, dat in het voordeel van het merk oordeelde. De zaak geldt nu als een precedent in zaken die verband houden met de vrijheid van meningsuiting in de EU. Indrė Viltrakytė heeft 10+ jaar ervaring in de mode-industrie.
Heb je iets te zeggen over NFT-overvallen of iets anders? Neem contact met ons op of discussieer mee in onze Telegram-kanaal. Je kunt ons ook pakken op Kruis aan Tok, Facebookof Twitter.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt naar aanleiding van de informatie op onze website, is strikt op eigen risico.
Bron: https://beincrypto.com/nft-heists-attacks-many-to-come/