De markt voor niet-fungibele token (NFT) is booming sinds de zomer van 2021 en naarmate de NFT-prijzen omhoogschoten, nam ook het aantal hacks gericht op NFT's toe.
De meest recente spraakmakende hack heeft ongeveer 600 Ether overgeheveld (ETH) aan NFT's van Arthur0x, de oprichter van DeFiance Capital, die vervolgens werden verkocht op OpenSea.
Een Crypto Crime Report uit 2022, gepubliceerd door Chainalysis, benadrukte dat de waarde die door illegale adressen naar NFT-marktplaatsen wordt gestuurd in 2021 aanzienlijk is gestegen, tot iets minder dan $ 1.4 miljoen. Er was ook een duidelijke toename van gestolen geld dat naar NFT-marktplaatsen werd gestuurd.
Gezien de zorgwekkende snelle toename van illegale waarde die naar de NFT-platforms stroomt, is het logisch om te vragen of er veiligheidsmaatregelen en -procedures zijn en, zo ja, of deze maatregelen effectief zijn in het beschermen van eigenaren.
Laten we eens kijken naar OpenSea, het grootste NFT-platform, en zijn beveiligingsmaatregelen.
De beveiligingsmaatregelen bij OpenSea kunnen gebruikers niet beschermen
OpenSea heeft twee belangrijke beveiligingsmaatregelen die in werking treden zodra een account is "gehackt": het vergrendelen van het gecompromitteerde account en het blokkeren van de gestolen NFT's. Deze twee maatregelen zijn erg ineffectief als je ze van dichtbij bekijkt.
Het account vergrendelen kan op de OpenSea-website zonder menselijke goedkeuring getoond hier, terwijl het blokkeren van de NFT's een langdurig proces inhoudt van het aanmaken van een ticket en wachten op het OpenSea-helpteam om te reageren.
In een situatie waarin een hacker de portemonnee al heeft gecompromitteerd en bezig is met het overzetten van de NFT's, zal het vergrendelen van het account alleen effectief zijn als dit wordt gedaan voordat de hacker alles overdraagt.
Evenzo is het blokkeren van de NFT's ook alleen effectief voordat de NFT's door de hacker aan een andere koper worden verkocht. Wat nog erger is, is dat deze beveiligingsmaatregel een reeks indirecte slachtoffers creëert die eindigen met geblokkeerde NFT's die niet kunnen worden verkocht of overgedragen. Dit komt omdat de responstijd voor tickets die zijn opgehaald in OpenSea minimaal één dag is. Tegen de tijd dat de NFT's door OpenSea worden geblokkeerd, zouden ze al zijn verkocht aan een andere koper die nu het nieuwe slachtoffer van het misdrijf wordt.
In het geval van de 17 gestolen Azuki van Arthur0x werden er 15 binnen dezelfde minuut gestolen en twee drie minuten later. De gemiddelde tijd dat deze gestolen NFT's in de portemonnee van de hacker bleven voordat ze werden verkocht, is 43 minuten. De beveiligingsmaatregelen van OpenSea zijn op geen enkele manier responsief en snel genoeg om het slachtoffer te informeren en de hacker te stoppen; evenmin kunnen ze de kopers tijdig genoeg informeren om te voorkomen dat ze de gestolen NFT's kopen en indirect het slachtoffer worden.
Het blokkeren van gestolen NFT's creëert indirecte slachtoffers
Een indirect slachtoffer is iemand die niet het doelwit is van de hack, maar indirect lijdt onder de financiële verliezen die worden veroorzaakt door het blokkeren van de gestolen NFT's. Zoals blijkt uit veel recente NFT-hacks, worden de NFT's altijd verkocht voordat de blokkering door OpenSea wordt geïmplementeerd. Het gevolg van het te laat blokkeren van de NFT's is dat het indirecte slachtoffers en meer verliezen voor meer mensen creëert.
Om meer in detail te illustreren hoe iemand uiteindelijk een gestolen NFT kan kopen en indirect het slachtoffer kan worden van een hack, zijn hier drie veelvoorkomende gevallen:
Zaak 1: Alice kocht een NFT, maar kwam er pas later achter dat het een gestolen bezit is. De NFT is geblokkeerd en Alice kan deze niet verkopen of overdragen op OpenSea. Ze gaat vervolgens verder met het verhogen van een ondersteuningsticket. Na enkele weken biedt het OpenSea Trust & Safety-team aan om de platformkosten van 2.5% terug te betalen; en eventueel het e-mailadres van het slachtoffer dat de diefstal heeft gemeld als hij geluk heeft. Daarna zal ze waarschijnlijk een langdurig gesprek met het slachtoffer hebben om te onderhandelen over de mogelijkheid om de blokkade op te heffen, wat hoogstwaarschijnlijk nergens toe zal leiden.
Alice kan de NFT nog steeds op andere marktplaatsen verkopen, maar het verkoopvolume voor deze specifieke collectie is erg laag en er is geen koper die een eerlijke prijs kan bieden op andere platforms dan OpenSea.
Zaak 2: Alice deed meerdere biedingen terwijl ze op NFT's uit een verzameling bood. Een van de aanbiedingen werd geaccepteerd door de hacker, die vervolgens de betaling van het bod in de portemonnee van het slachtoffer ontving en vervolgens de portemonnee opruimde. De NFT werd later geblokkeerd als onderdeel van de gestolen activa van ongeautoriseerde transacties door het slachtoffer.
Gevallen als deze komen vaak voor omdat vermelde NFT's niet kunnen worden overgedragen tenzij de vermelding wordt geannuleerd. De hacker, die onder tijdsdruk staat, zal eerder geneigd zijn een bod te accepteren en de opbrengst van de verkoop te krijgen en het geld over te maken. Onderstaande casus laat zien hoe de volledige NFT-collectie van het indirecte slachtoffer zonder uitleg werd geblokkeerd door OpenSea.
Hier is mijn topic over hoe @open zee blokkeerde onredelijk mijn account en bevroor al mijn NFT's na mijn bod 40 we voor @BoredApeYC #6267 is geaccepteerd.
Ik denk dat het erg belangrijk is om deze zaak te verspreiden onder de NFT-gemeenschap!
Laten we beginnen ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) 10 november 2021
Zaak 3: Alice heeft al geruime tijd een NFT en plotseling wordt deze geblokkeerd en gemarkeerd als 'gerapporteerd voor verdachte activiteit'. Het account van de verkoper is niet gehackt en de transactie is een tijdje geleden gebeurd. Aangezien er geen bewijs nodig is om een gestolen NFT te melden en te blokkeren, kan iedereen een e-mail sturen naar het fraudebestrijdingsteam van OpenSea om een NFT te blokkeren.
Hoewel later een politierapport kan worden opgevraagd, is er geen duidelijke verklaring van OpenSea om het bewijs te specificeren dat nodig is om de hack te bewijzen, noch een voorwaarde waaronder een ten onrechte gerapporteerde gestolen NFT kan worden geïdentificeerd en uit het blok kan worden gehaald. Er zijn geen gevolgen voor het ten onrechte melden van gestolen NFT's.
NFT's worden vaak geblokkeerd zonder uitleg of bewijs, zoals politierapporten die aan het indirecte slachtoffer worden verstrekt. Theoretisch kunnen deze NFT's nog steeds op andere platforms worden verhandeld, maar gezien het monopolie van OpenSea op de markt, met 95% van de totale NFT-handelsvolumes, staat het blokkeren van NFT's op OpenSea bijna gelijk aan het voor altijd uit de markt halen.
Het blokkeren van NFT's kan de prijs kunstmatig verhogen
Het gevaar van het blokkeren van gestolen NFT's voor de handel op het grootste NFT-platform OpenSea is de permanente vermindering van het aanbod. Gebaseerd op de wet van vraag en aanbod in de economische theorie, als het aanbod daalt, stijgt de prijs.
De Azuki-collectie heeft bijvoorbeeld 10,000 NFT's en momenteel zijn er slechts 1,100 te koop op OpenSea. Door de Arthur0x-hack werden er 17 gestolen en geblokkeerd. Hoewel 17 NFT's slechts ongeveer 1.5% uitmaken van de 1,100 circulerende voorraad, heeft de prijs na de hack al een stijgende trend laten zien. De hack gebeurde op 22 maart en de prijs piekte op 28 maart tot 20.96 E voorafgaand aan de airdrop-aankondiging op 31 maart - een stijging van 55% binnen een week.
Hoewel niet alle van de 17 gestolen NFT's worden geblokkeerd, aangezien Arthur er enkele heeft weten terug te krijgen door met de indirecte slachtoffers te onderhandelen om ze terug te kopen, zullen toekomstige hacks in een vergelijkbare vorm continu plaatsvinden en het cumulatieve aantal geblokkeerde NFT's kan alleen maar toenemen naarmate hacks doorgaan en er zijn geen procedures om ze te deblokkeren.
Met opnieuw Azuki als voorbeeld, verzamelt de grafiek hieronder het historische aantal verkopen en de gemiddelde prijs om een vraagcurve te creëren en gaat ervan uit dat de aanbodcurve lineair is. Het snijpunt van de vraag- en aanbodcurve is de evenwichtsprijs.
Naarmate het aanbod continu afneemt, wordt de snelheid waarmee de prijs stijgt sneller naarmate de helling van de vraagcurve steiler wordt. Een gelijke afname van 300 NFT's in het aanbod van 1,000 naar 700 versus van 700 naar 400 resulteert in een grotere prijsstijging voor de laatste.
Zoals te zien is in de onderstaande grafiek, stijgt de prijs van 15 ETH naar 21 ETH van de korting van 1,000 naar 700, maar stijgt meer van 21 ETH naar 28 ETH van de korting van 700 naar 400.
Het is duidelijk dat het blokkeren van de gestolen NFT's de prijs van de verzameling kunstmatig zou kunnen verhogen. Als iemand zou willen profiteren van de maas in het OpenSea-beveiligingssysteem door ten onrechte veel NFT's uit dezelfde collectie als gestolen te melden (aangezien er geen bewijs nodig is om gestolen NFT's te melden), zou de prijs van de collectie dramatisch kunnen stijgen als het aanbod laag is . Deze maas in de wet kan kansen creëren voor prijsmanipulatie op de illiquide NFT-markt.
Het blokkeren van NFT's is in ieder geval geen effectieve maatregel om de hack te stoppen of de hacker te straffen, maar creëert integendeel meer indirecte slachtoffers en mazen in de wet voor marktmanipulatoren. Dit is zeker niet de manier om te gaan, dus is er een effectieve beveiligingsmaatregel?
Preventieve maatregelen en een evidence-based systeem moeten aanwezig zijn
Het huidige beveiligingssysteem van OpenSea kent geen preventieve maatregelen om gebruikers vooraf te beschermen. Alle veiligheidsmaatregelen worden pas na de hack geïmplementeerd, wat een van de belangrijkste redenen is waarom ze niet effectief zijn.
Op basis van het gedrag van de hackers is tijd een essentieel onderdeel. Beveiligingsmaatregelen die de hacker kunnen vertragen of de slachtoffers vroegtijdig kunnen informeren, zijn de sleutels tot het winnen van de strijd. Hier zijn enkele effectievere preventieve maatregelen die door OpenSea kunnen worden geïmplementeerd:
- Maak een systeem voor vroegtijdige waarschuwing dat abnormale accountactiviteit kan detecteren en instant sms-berichten of e-mailwaarschuwingen kan verzenden om gebruikers op de hoogte te stellen van dergelijke activiteit, zodat ze voldoende tijd hebben om te reageren. Als het account bijvoorbeeld nooit meer dan één NFT binnen één minuut heeft gekocht of overgedragen; of als het account in het verleden nooit activiteiten heeft gehad gedurende een specifieke tijdsperiode (dwz tijdzones waarin de gebruiker slaapt), wordt het optreden van dergelijke activiteiten gedetecteerd door algoritmen voor machine learning. De rekeninghouder kan ervoor kiezen om direct op de hoogte te worden gesteld of om de rekening voor de veiligheid automatisch te laten vergrendelen.
- Gebruikers de mogelijkheid bieden om het maximale aantal NFT-overdrachten of -verkopen binnen een tijdsbestek te beperken, dwz maximaal één overdracht of verkoop binnen één minuut; of een minimaal tijdsinterval opgelegd tussen elke overdracht of verkoop, dwz de volgende overdracht of verkoop kan slechts 15 minuten na de vorige plaatsvinden. Deze maatregelen kunnen voorkomen dat hackers in één keer een groot aantal NFT's stelen.
- Creëer verdachte accountdashboards waarmee slachtoffers onmiddellijk gecompromitteerde accounts en accounts van hackers kunnen toevoegen voor openbaar onderzoek. Dit geeft alle kopers realtime informatie over verdachte accounts en de mogelijkheid om te controleren of de verkoper op de lijst staat voordat ze kopen. Bewijsmateriaal zoals een politierapport kan later aan het slachtoffer worden gevraagd om te bewijzen dat de gerapporteerde rekeningen inderdaad gecompromitteerd zijn.
Sommige van deze maatregelen kunnen vals alarm en ongemak veroorzaken. Maar aangezien het een race des tijds is tegen de hacker als het gaat om preventieve maatregelen, willen gebruikers liever het zekere voor het onzekere nemen om te voorkomen dat ze het volgende slachtoffer worden.
Veelvoorkomende misvattingen over crypto-hacking
Een veel voorkomende misvatting over crypto-hacking is dat "dit mij niet zal overkomen omdat mijn veiligheidsbewustzijn hoog is en ik een harde portemonnee gebruik". Het is misschien waar dat een directe kwaadwillende hack kan worden voorkomen door goede beveiligingspraktijken, maar iedereen kan indirect het slachtoffer worden van een hack die op iemand anders is gericht. Wanneer het aantal hacks toeneemt, is de kans om indirect slachtoffer te worden ook veel groter.
Een andere misvatting is: "zolang ik niet te veel geld in mijn hete portemonnee bewaar, maakt het niet uit of de portemonnee gecompromitteerd is." Wat de meeste gebruikers zich niet realiseren, is dat geldverlies slechts één gevolg is van de hack. Het verliezen van een Web3-portemonnee is als het verliezen van uw volledige kredietgeschiedenis. Alle toekomstige voordelen op basis van activiteiten in het verleden, zoals airdrops of toegang tot leningen en hefboomwerking, kunnen ook verdampen met de gecompromitteerde portemonnee.
Hoewel blockchain een van de veiligste financiële technologieën is die ooit zijn gemaakt, vormen kwaadwillende hacks naar op crypto gebaseerde platforms de grootste bedreiging voor de Web3-onderneming.
Gezien de onomkeerbare aard van blockchain en het gebrek aan preventieve veiligheidsmaatregelen van OpenSea, is het niet moeilijk om de beste oplossing te zien die OpenSea bedacht na de Ethereum-domeinveiling gehackt is om de hacker 25% winst uit de verkoop aan te bieden in ruil voor de teruggave van de gestolen NFT's. Alleen in de wereld van de NFT-markt kan een crimineel voor zo'n ernstig misdrijf worden beloond in plaats van gestraft.
Als monopolie van de NFT-markt kan OpenSea zeker beter doen dan dit en beveiligingsmaatregelen serieuzer nemen en meer bescherming bieden aan zijn gebruikers.
De meningen en meningen die hier worden weergegeven, zijn uitsluitend die van de auteur en weerspiegelen niet noodzakelijk de meningen van Cointelegraph.com. Elke investering en elke handelsbeweging brengt risico's met zich mee, u moet uw eigen onderzoek uitvoeren bij het nemen van een beslissing.
Bron: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections