در اینجا آمده است که چگونه هک های OpenSea NFT به مالکان، خریداران و حتی کل مجموعه ها آسیب می رساند

بازار توکن‌های غیرقابل تعویض (NFT) از تابستان 2021 رونق گرفته است و با افزایش سرسام‌آور قیمت‌های NFT، تعداد هک‌هایی که NFT را هدف قرار می‌دهند نیز افزایش یافته است.

جدیدترین هک با مشخصات بالا تقریباً 600 اتر (ETH) ارزش NFT های Arthur0x، بنیانگذار DeFiance Capital، که سپس در OpenSea فروخته شد.

گزارش جرم رمزنگاری شده در سال 2022 که توسط Chainalysis منتشر شد، نشان داد که ارزش ارسال شده به بازارهای NFT توسط آدرس های غیرقانونی در سال 2021 به میزان قابل توجهی افزایش یافت و به کمتر از 1.4 میلیون دلار رسید. همچنین افزایش آشکاری در وجوه دزدیده شده ارسال شده به بازارهای NFT وجود داشت.

*کل ارزش غیرقانونی که به پلتفرم‌های NFT سرازیر می‌شود. منبع: Chainalysis Crypto Crime Report 2022*

با توجه به افزایش سریع ارزش غیرقانونی که به پلتفرم‌های NFT سرازیر می‌شود، طبیعی است که بپرسیم آیا اقدامات و رویه‌های امنیتی وجود دارد و اگر چنین است، آیا این اقدامات در محافظت از مالکان مؤثر است یا خیر.

بیایید نگاهی به OpenSea، بزرگترین پلتفرم NFT و اقدامات امنیتی آن بیندازیم.

اقدامات امنیتی در OpenSea نمی تواند از کاربران محافظت کند

OpenSea دارای دو اقدام امنیتی اصلی است که به محض هک شدن یک حساب وارد عمل می شوند - قفل کردن حساب در معرض خطر و مسدود کردن NFT های سرقت شده. این دو اقدام زمانی که از نزدیک به آنها نگاه کنیم بسیار بی اثر هستند.

قفل کردن حساب را می توان در وب سایت OpenSea بدون تایید انسانی انجام داد نشان داده شده در اینجا، در حالی که مسدود کردن NFT ها شامل یک فرآیند طولانی برای بالا بردن یک بلیط و انتظار برای پاسخ تیم کمک OpenSea است.

در شرایطی که یک هکر قبلاً کیف پول را به خطر انداخته است و در حال انتقال NFT ها به خارج است، قفل کردن حساب تنها زمانی مؤثر خواهد بود که قبل از انتقال همه چیز توسط هکر انجام شود.

به طور مشابه، مسدود کردن NFT ها نیز فقط قبل از فروخته شدن NFT ها توسط هکر به خریدار دیگری موثر است. بدتر از آن این است که این اقدام امنیتی باعث ایجاد یک سری قربانیان غیرمستقیم می شود که در نهایت با NFT های مسدود شده ای مواجه می شوند که قابل فروش یا انتقال نیستند. این به این دلیل است که زمان پاسخگویی برای بلیط های ارائه شده در OpenSea حداقل یک روز است. تا زمانی که NFT ها توسط OpenSea مسدود شوند، قبلاً به خریدار دیگری فروخته شده بودند که اکنون قربانی جدید جنایت می شود.

در مورد 17 آزوکی سرقت شده از Arthur0x، 15 مورد در همان دقیقه و دو مورد سه دقیقه بعد به سرقت رفتند. میانگین زمان ماندن این NFT های سرقت شده قبل از فروش در کیف پول هکرها 43 دقیقه است. اقدامات امنیتی OpenSea به هیچ وجه پاسخگو و سریع نیست تا قربانی را مطلع کند و هکر را متوقف کند. آنها همچنین نمی توانند به سرعت به خریداران اطلاع دهند تا آنها را از خرید NFT های سرقت شده و قربانیان غیرمستقیم منع کنند.

*NFT های Azuki به سرقت رفته از Aurther0x. منبع:* *Etherscan.io*

مسدود کردن NFT های سرقت شده قربانیان غیرمستقیم ایجاد می کند

قربانی غیرمستقیم کسی است که هدف هک نیست اما به طور غیرمستقیم از ضررهای مالی ناشی از مسدود شدن NFT های سرقت شده متحمل می شود. همانطور که در بسیاری از هک های اخیر NFT مشاهده می شود، NFT ها همیشه قبل از اجرای بلوک توسط OpenSea فروخته می شوند. پیامد مسدود کردن دیرهنگام NFT ها این است که قربانیان غیرمستقیم و ضررهای بیشتری برای افراد بیشتری ایجاد می کند.

برای نشان دادن جزئیات بیشتر اینکه چگونه هر کسی ممکن است در نهایت یک NFT سرقتی را بخرد و قربانی غیرمستقیم هک شود، در اینجا سه مورد رایج وجود دارد:

1 مورد: آلیس یک NFT خرید اما بعداً متوجه شد که دارایی سرقت شده است. NFT مسدود شده است و آلیس نمی تواند آن را در OpenSea بفروشد یا انتقال دهد. او سپس اقدام به تهیه بلیط پشتیبانی می کند. پس از چند هفته، تیم OpenSea Trust & Safety بازپرداخت 2.5٪ هزینه های پلت فرم را پیشنهاد می کند. و احتمالا آدرس ایمیل قربانی که در صورت خوش شانسی دزدی را گزارش کرده است. سپس، او احتمالاً گفتگوی طولانی با قربانی خواهد داشت تا در مورد امکان برداشتن بلوک مذاکره کند، که به احتمال زیاد به جایی نخواهد رسید.

آلیس هنوز هم می‌تواند NFT را در بازارهای دیگر بفروشد، اما حجم فروش برای این مجموعه خاص بسیار کم است و هیچ خریداری وجود ندارد که بتواند قیمت منصفانه‌ای را در پلتفرم‌هایی غیر از OpenSea ارائه دهد.

*پاسخ OpenSea به قربانی غیرمستقیم که NFT سرقتی را خریداری کرده است*

2 مورد: آلیس در حین مناقصه NFT از یک مجموعه، چندین پیشنهاد داد. یکی از پیشنهادات توسط هکر پذیرفته شد و سپس مبلغ پیشنهادی موجود در کیف پول قربانی را دریافت کرد و اقدام به پاکسازی کیف پول کرد. NFT بعداً به عنوان بخشی از دارایی های سرقت شده از معاملات غیرمجاز توسط قربانی مسدود شد.

مواردی مانند این اغلب اتفاق می‌افتد زیرا NFT‌های فهرست‌شده را نمی‌توان منتقل کرد مگر اینکه فهرست لغو شود. هکری که تحت فشار زمان است، احتمال بیشتری دارد که پیشنهاد پیشنهادی را بپذیرد و درآمد حاصل از فروش را دریافت کند و پول را به بیرون منتقل کند. مورد زیر نشان می دهد که چگونه کل مجموعه NFT قربانی غیرمستقیم توسط OpenSea بدون توضیح مسدود شده است.

در اینجا تاپیک من در مورد چگونگی است @دریای آزاد به طور غیر منطقی حساب من را مسدود کرد و تمام NFT های من را پس از 40 پیشنهاد من مسدود کرد BoredApeYC #6267 پذیرفته شد.
من فکر می کنم گسترش این مورد در بین جامعه NFT بسیار مهم است!
بیایید شروع کنیم⬇️ pic.twitter.com/xnxctpzzpL
— Mpa3yka (@Mpa3yka) نوامبر 10، 2021

3 مورد: آلیس مدت زیادی است که یک NFT دارد و ناگهان مسدود شده و به عنوان "گزارش شده برای فعالیت مشکوک" علامت گذاری شده است. حساب فروشنده به خطر نیفتاده و معامله چندی پیش انجام شده است. از آنجایی که هیچ مدرکی برای گزارش یک NFT سرقت شده و مسدود کردن آن وجود ندارد، هر کسی می تواند یک ایمیل به تیم ضد کلاهبرداری OpenSea ارسال کند تا هرگونه NFT را مسدود کند.

اگرچه بعداً می توان گزارش پلیس را درخواست کرد، اما OpenSea نه بیانیه روشنی برای مشخص کردن شواهد مورد نیاز برای اثبات هک وجود دارد و نه شرایطی وجود دارد که تحت آن یک NFT به سرقت رفته گزارش شده نادرست شناسایی و از بلوک خارج شود. هیچ پیامدی برای گزارش نادرست NFT های سرقت شده وجود ندارد.

NFT ها اغلب بدون هیچ توضیح یا مدرکی مانند گزارش های پلیس ارائه شده به قربانی غیرمستقیم مسدود می شوند. از نظر تئوری، این NFT ها همچنان می توانند در پلتفرم های دیگر معامله شوند، اما با توجه به انحصار OpenSea در بازار، با 95٪ از کل حجم معاملات NFT، مسدود کردن هر NFT در OpenSea تقریباً معادل حذف آنها برای همیشه از بازار است.

مسدود کردن NFT ها می تواند به طور مصنوعی قیمت را افزایش دهد

خطر مسدود کردن NFT های سرقت شده از تجارت در بزرگترین پلت فرم NFT OpenSea، کاهش دائمی عرضه است. بر مبنای قانون عرضه و تقاضا در تئوری اقتصاد، وقتی عرضه کاهش می‌یابد، قیمت بالا می‌رود.

به عنوان مثال، مجموعه آزوکی دارای 10,000 NFT است و در حال حاضر تنها 1,100 مورد در OpenSea به فروش می رسد. هک Arthur0x منجر به سرقت و مسدود شدن 17 مورد شد. اگرچه 17 NFT تنها حدود 1.5 درصد از 1,100 عرضه در گردش را تشکیل می دهند، قیمت در حال حاضر روند افزایشی را پس از هک نشان داده است. هک در 22 مارس و قیمت اتفاق افتاد اوج گرفت در تاریخ 28 مارس تا 20.96 E قبل از اعلام ایردراپ در 31 مارس - افزایش 55 درصدی در عرض یک هفته.

*فروش آزوکی و میانگین قیمت پس از هک. منبع: OpenSea*

اگرچه همه 17 NFT سرقت شده مسدود نمی شوند زیرا آرتور توانست برخی از آنها را از طریق مذاکره با قربانیان غیرمستقیم برای بازخرید آنها بازیابی کند، هک های آینده به شکل مشابه به طور مداوم اتفاق می افتد و تعداد تجمعی NFT های مسدود شده تنها می تواند با ادامه هک ها افزایش یابد. هیچ روشی برای رفع انسداد آنها وجود ندارد.

با استفاده از آزوکی به عنوان مثال، نمودار زیر تعداد تاریخی فروش و میانگین قیمت را برای ایجاد منحنی تقاضا جمع‌آوری می‌کند و منحنی عرضه را خطی فرض می‌کند. نقطه تلاقی منحنی های عرضه و تقاضا، قیمت تعادلی است.

با کاهش مداوم عرضه، با تندتر شدن شیب منحنی تقاضا، سرعت افزایش قیمت سریع‌تر می‌شود. کاهش مساوی 300 NFT در عرضه از 1,000 به 700 در مقابل از 700 به 400 منجر به افزایش قیمت بیشتر برای دومی می شود.

همانطور که در نمودار زیر نشان داده شده است، قیمت از 15 به 21 کاهش قیمت از 1,000 به 700 اتریوم افزایش می یابد، اما از کاهش 21 به 28 از 700 اتر به 400 اتر افزایش می یابد.

*منحنی عرضه و تقاضای آزوکی بر اساس فروش و قیمت از OpenSea*

واضح است که مسدود کردن NFT های سرقت شده می تواند به طور مصنوعی قیمت مجموعه را افزایش دهد. اگر شخصی بخواهد از خلأ موجود در سیستم امنیتی OpenSea با گزارش نادرست بسیاری از NFTها از همان مجموعه به سرقت رفته استفاده کند (از آنجایی که هیچ مدرکی برای گزارش NFT های سرقت شده لازم نیست)، در صورت کم بودن عرضه، قیمت مجموعه می تواند به شدت افزایش یابد. . این شکاف می تواند فرصت هایی برای دستکاری قیمت در بازار NFT غیر نقدی ایجاد کند.

در هر صورت، مسدود کردن NFT ها اقدام موثری برای توقف هک یا مجازات هکر نیست، بلکه برعکس، قربانیان غیرمستقیم و حفره های بیشتری را برای دستکاری کنندگان بازار ایجاد می کند. مطمئناً این راهی نیست، بنابراین آیا اقدامات امنیتی مؤثری وجود دارد؟

اقدامات پیشگیرانه و یک سیستم مبتنی بر شواهد باید وجود داشته باشد

سیستم امنیتی OpenSea فعلی هیچ اقدام پیشگیرانه ای برای محافظت از کاربران پیشاپیش ندارد. تمام اقدامات ایمنی تنها پس از هک اجرا می شود که یکی از دلایل اصلی بی اثر بودن آنهاست.

بر اساس رفتار هکرها، زمان یک جزء ضروری است. اقدامات امنیتی که می تواند هکر را کند کند یا قربانیان را زودتر مطلع کند، کلید پیروزی در نبرد است. در اینجا برخی از اقدامات پیشگیرانه موثرتری وجود دارد که می تواند توسط OpenSea اجرا شود:

یک سیستم هشدار اولیه ایجاد کنید که می‌تواند فعالیت غیرعادی حساب را تشخیص دهد و پیام‌های متنی فوری یا هشدارهای ایمیل ارسال کند تا کاربران را از چنین فعالیت‌هایی مطلع کند تا زمان کافی برای پاسخ‌گویی داشته باشند. به عنوان مثال، اگر حساب هرگز بیش از یک NFT را در عرض یک دقیقه خریداری یا انتقال نداده باشد. یا اگر حساب در گذشته در یک بازه زمانی خاص (یعنی مناطق زمانی که کاربر در خواب است) هیچ فعالیتی نداشته است، وقوع چنین فعالیت‌هایی توسط الگوریتم‌های یادگیری ماشین شناسایی می‌شود. دارنده حساب می تواند انتخاب کند که فوراً مطلع شود، یا اجازه دهد حساب به طور خودکار برای ایمنی قفل شود.

به کاربران این امکان را بدهید که حداکثر تعداد نقل و انتقالات یا فروش NFT مجاز را در یک بازه زمانی محدود کنند، یعنی حداکثر یک انتقال یا فروش در یک دقیقه. یا حداقل فاصله زمانی تحمیل شده بین هر نقل و انتقال یا فروش، یعنی انتقال یا فروش بعدی فقط 15 دقیقه پس از انتقال قبلی انجام می شود. این اقدامات می تواند مانع از سرقت تعداد زیادی NFT در یک حرکت توسط هکرها شود.

داشبوردهای حساب مشکوکی ایجاد کنید که به قربانیان اجازه می دهد فوراً حساب های در معرض خطر و حساب های هکرها را برای بررسی عمومی اضافه کنند. این به همه خریداران اطلاعات بی‌درنگ درباره حساب‌های مشکوک و این امکان را می‌دهد که قبل از خرید، بررسی کنند که آیا فروشنده در لیست است یا خیر. شواهدی مانند گزارش پلیس را می توان بعداً از قربانی درخواست کرد تا ثابت کند که حساب های گزارش شده واقعاً به خطر افتاده است.

برخی از این اقدامات ممکن است هشدارهای کاذب و ناراحتی ایجاد کند. اما با توجه به اینکه زمانی که صحبت از اقدامات پیشگیرانه به میان می‌آید مسابقه‌ای با هکر است، کاربران ترجیح می‌دهند برای جلوگیری از تبدیل شدن به قربانی بعدی ایمن باشند تا متاسف باشند.

باورهای غلط رایج در مورد هک کریپتو

یک تصور غلط رایج در مورد هک کریپتو این است که "این اتفاق برای من نمی افتد زیرا آگاهی امنیتی من بالاست و از کیف پول سخت استفاده می کنم." ممکن است درست باشد که می‌توان از هک مخرب مستقیم از طریق اقدامات امنیتی خوب جلوگیری کرد، اما هرکسی می‌تواند قربانی غیرمستقیم هکی شود که شخص دیگری را هدف قرار می‌دهد. هنگامی که تعداد هک ها افزایش می یابد، احتمال تبدیل شدن به یک قربانی غیرمستقیم نیز بسیار بیشتر می شود.

یکی دیگر از تصورات نادرست این است که "تا زمانی که پول زیادی در کیف پول خود نگه نداشته باشم، مهم نیست که کیف پول به خطر بیفتد." چیزی که اکثر کاربران متوجه نمی شوند این است که ضرر پولی تنها یکی از پیامدهای هک است. از دست دادن کیف پول Web3 مانند از دست دادن کل سابقه اعتباری است. هرگونه مزیت آتی مبتنی بر فعالیت‌های گذشته مانند ایردراپ یا دسترسی به وام‌ها و اهرم‌ها نیز می‌تواند با کیف پول در معرض خطر از بین برود.

اگرچه بلاک چین یکی از امن‌ترین فناوری‌های مالی است که تاکنون ایجاد شده است، اما هک‌های مخرب به پلتفرم‌های مبتنی بر کریپتو بزرگترین تهدید برای سرمایه‌گذاری Web3 هستند.

با توجه به ماهیت برگشت ناپذیر بلاک چین و فقدان اقدامات امنیتی پیشگیرانه OpenSea، دیدن بهترین راه حل که OpenSea بعد از هک حراج دامنه اتریوم این است که در ازای بازگرداندن NFT های دزدیده شده، 25 درصد سود از فروش به هکر ارائه دهد. فقط در دنیای بازار NFT می توان به مجرمان به جای مجازات برای چنین جرم جدی پاداش دریافت کرد.

به عنوان انحصار بازار NFT، OpenSea مطمئناً می تواند بهتر از این عمل کند و اقدامات امنیتی را جدی تر انجام دهد و از کاربران خود محافظت بیشتری کند.

نظرات و نظرات بیان شده در اینجا صرفاً نظرات نویسنده است و لزوماً منعکس کننده نظرات Cointelegraph.com نیست. هر حرکت سرمایه گذاری و تجاری شامل ریسک است ، هنگام تصمیم گیری باید تحقیقات خود را انجام دهید.