NFT's: nieuwe fraudedoelen

De automatisering van fraude vereist een betere verdediging, te beginnen met de digitale identiteit.

Ik heb onlangs een niet-fungible token (NFT) gekocht. Ik kocht het op OpenSea, een van de belangrijkste NFT-marktplaatsen. Als je geïnteresseerd bent in kunst: het is een cartoon van de getalenteerde kunstenaar Helen Holmes. Als je geïnteresseerd bent in speculatie: dit is degene die ik heb gekocht. Het komt uit haar ‘originals’-collectie en is nu trots te zien in mijn crypto.com-portemonnee, zodat iedereen het kan zien.

Ik heb Helen de opdracht gegeven om de cartoons te tekenen die ik gebruik om mijn artikelen hier te illustreren, dus ik weet zeker dat ze echt is, dat de cartoons originelen zijn die door haar zijn gemaakt en dat ik het recht heb om ze te gebruiken vanwege onze eigen overeenkomst. En ik ben blij om te kunnen zeggen dat als iemand een van haar NFT's koopt, het geld naar haar gaat, de verdienstelijke kunstenaar. Het blijkt dat dit “mijn” NFT tot een van de weinige legitieme voorbeelden van sommigen maakt, omdat OpenSea vorige maand zei dat meer dan 80% van de NFT’s die gratis op het platform zijn gemaakt “geplagieerde werken, nepcollecties en spam'.

(Ik zeg “mijn” NFT, hoewel ik een NFT bezit geeft mij geen rechten in het onderliggende intellectuele eigendom, dat nog steeds eigendom is van Helen, of unieke toegang tot de afbeelding zelf die iedereen kan downloaden door met de rechtermuisknop op de afbeelding hierboven te klikken.)

Zelfs de NFT's die geen namaak en fraude zijn, zijn op zijn zachtst gezegd vaak onbetrouwbaar. Ik neem in deze categorie de NFT op van een röntgenfoto van een van de overlevenden van het bloedbad in Bataclane in Parijs, dat te koop werd aangeboden door de chirurg die haar behandelde! En dit heeft niet iets met OpenSea te maken, het heeft met de hele markt te maken.

Eigenlijk is ‘markt’ waarschijnlijk het verkeerde woord, blijkt uit een recent onderzoek gevonden dat “de top 10% van de handelaren alleen al voert 85% van alle transacties uit en verhandelt minstens één keer 97% van alle activa”. Als we naar de cijfers kijken, is de top 10 procent van de ‘koper-verkoper-paren’ net zo actief als alle anderen samen. Het is een speeltuin die bijna volledig is veroverd door walvissen.

Wanneer het platform dat de NFT van Jack Dorsey's eerste tweet ooit voor drie miljoen Amerikaanse dollars heeft verkocht, de meeste transacties stopzet omdat makers van namaak tokens van inhoud verkochten die niet van hen waren, dan denk ik dat we het er allemaal over eens kunnen zijn dat er een fundamenteel probleem is met de handel in digitale activa.

Innovatie

Het lijkt erop dat NFT's een platform bieden voor innovatie op het gebied van fraude en innovatie op het gebied van creatieve werken. Een van de meest voorkomende soorten is wat bekend staat als ‘wash trading’, waarbij groepen fraudeurs onderling een NFT verhandelen, voor een steeds hogere prijs, totdat iemand die geen deel uitmaakt van de groep en denkt dat de prijs reëel is. (in het informele Engelse investment banking-jargon staan ​​zulke individuen bekend als ‘mug gokkers’) stapt tussenbeide om de ‘kunst’ te kopen. Op dat moment verdeelde de groep de opbrengst onder elkaar, spoelde af en herhaalde het.

(Deze fraude, waarbij de verkopers aan beide kanten van de verkoop zitten, is wijdverbreid. En het gaat niet alleen om cryptobros die van het publiek plunderen door de waarde van NFT’s valselijk op te drijven. Het Amerikaanse ministerie van Financiën heeft al zijn bezorgdheid geuit dat de activiteit zou kunnen worden gebruikt voor geld witwassen.)

OpenSea werd onlangs qua volume ingehaald door LooksRare. LooksRare beloont gebruikers financieel voor hun handelsvolume, wat voorspelbaar betekent dat schurken het systeem bespelen. Crypto-analysebedrijf CryptoSlam dat geschat ongeveer 87 procent van het totale handelsvolume sinds de lancering bestaat in feite uit washtrading.

(Wash-handel in NFT's, volgens een detail Ketenanalyse studie van de kwestie heeft een interessante asymmetrie: de meeste handelaren zijn niet winstgevend geweest, maar de succesvolle hebben zoveel geprofiteerd dat de groep als geheel enorm heeft geprofiteerd.)

Dat gezegd hebbende, zijn NFT's een platform voor innovatie op het gebied van fraude, maar ik moet toegeven dat ik soms de vindingrijkheid bewonder van sommige cryptohackers/uitbuiters die werk hebben gekregen in deze nieuwe wereld. Neem bijvoorbeeld de ‘maas in de wet’ van OpenSea die werd uitgebuit omdat sommige NFT-eigenaren niet wisten dat hun oude verkooplijsten nog steeds actief waren. Deze oude vermeldingen zijn gevonden en de NFT's zijn gekocht. Dit leidde tot het verlies van meerdere dure NFT's tegen bodemprijzen. 

(Het probleem was dat de NFT's werden verkocht tegen oude aanbiedingsprijzen toen de NFT's veel minder waardevol waren. Om een ​​specifiek voorbeeld te geven: één aanvaller betaalde in totaal $ 133,000 voor zeven NFT's voordat ze ze snel doorverkopen voor $ 934,000 aan ETH. Vijf uur later werden de onrechtmatig verkregen winsten verzonden via Tornado Cash, een ‘mixing’-service die wordt gebruikt om het traceren van fondsen via blockchain te voorkomen.)

Zoals Tom Robinson van blockchain-analysebedrijf Elliptic uitgelegd, deze ingenieuze (hoewel ik moet zeggen, niet zo complexe) fraude leidde vervolgens tot nog meer fraude omdat OpenSea een e-mail stuurde naar gebruikers die nog oude NFT-vermeldingen hadden, en dus vatbaar waren voor deze fraude. Voor het annuleren van de oude notering was echter een ETH-transactie nodig, dus de ondernemende freelance liefhebbers van alternatieve financiering achter de oorspronkelijke fraude creëerden vervolgens bots om op deze specifieke transacties te letten en deze vooraf uit te voeren om de NFT's te kopen voordat de notering werd geannuleerd.

(Met andere woorden, door te proberen behulpzaam te zijn en gebruikers te vertellen de kwetsbare vermeldingen te annuleren, gaf de marktplaats precies de informatie weg die de daders nodig hadden om hun aanvallen te automatiseren.)

Omvang en reikwijdte

Niet alle fraudes zijn bijzonder complex. Er is ontzettend veel geld verloren gegaan door zeer fundamentele fraude, zoals de ‘rug pull’, waarbij innovatieve cryptocurrency-ingenieurs de release aankondigen van een fantastisch nieuw digitaal activum dat in de toekomst verbazingwekkende dingen zal doen, en in een mum van tijd 100x in waarde zal stijgen. tijd en genees kanker onderweg. Het publiek reageert enthousiast en overspoelt de emittenten met contant geld, waarna de emittenten verdwijnen en onderweg hun website, Telegram-chat en valse LinkedIn-profielen verwijderen. Het publiek laat de virtuele katten uit de virtuele tassen en ontdekt dat ze niets meer hebben.

(AapJizz was een oplichterij! Wie weet!)

Er zijn echter fraudeurs die meer misbruik maken van de aard van de nieuwe infrastructuur. De ‘honingpot’ is zo’n voorbeeld. In een honeypot voegt de programmeur van de slimme contracten die een nieuw token beheren achterdeurcode in om ervoor te zorgen dat alleen hun eigen portemonnee daadwerkelijk kan verkopen! Alle anderen die tokens kopen, merken dat hun geld in de honingpot zit, terwijl de oplichter die het slimme contract heeft gemaakt, op elk moment kan uitbetalen.

Het noemen van honeypots brengt ons op nieuwe gebieden. Bij veel van de meest opvallende vormen van fraude gaat het om gedecentraliseerde financieringsprojecten, oftewel DeFi-projecten meer dan 10 miljard dollar verloren door diefstal en fraude door DeFi, zoals uit een elliptisch rapport van november blijkt. En dit is naar mijn mening nog maar het begin, want het vermogen om fraude in de DeFi-ruimte te automatiseren is een fascinerende en angstaanjagende ontwikkeling.

(Geautomatiseerde fraude beperkt zich natuurlijk niet tot de web3-wereld. PayPal heeft onlangs 4.5 miljoen rekeningen gesloten en zijn prognose voor nieuwe klanten verlaagd nadat hij ontdekte dat botfarms misbruik maakten van zijn prikkels. Ze hadden $ 10 aangeboden als prikkel om nieuwe rekeningen te openen, op op welk punt bots de PayPal-velden begonnen te bewerken in plaats van mensen. Zoals ik consequent heb volgehouden, zal op een dag de IS-A-PERSON-referentie de meest waardevolle credential van allemaal zijn.)

Als het om web3 gaat, is het kruispunt van slimme contracten vol programmeerfouten, cryptocurrencies en anonimiteit een heel nieuw speelveld voor fraudeurs, terroristen en grappenmakers. De combinatie van automatisering en complexiteit is giftig en moet van tevoren worden aangepakt. Ik zeg het niet graag nog een keer, maar de weg vooruit is via een werkende, geschikte digitale identiteitsinfrastructuur voor de 21e eeuw. Misschien zou DeFi (op basis van verifieerbare referenties en nulkennisbewijzen), in plaats van CeFi (op basis van federatieve identiteiten en gedeelde attributen), een identiteitsinfrastructuur op gang kunnen brengen die op zijn beurt de blijvende erfenis ervan zal worden.