自 2021 年夏季以來,非同質化代幣 (NFT) 市場一直在蓬勃發展,隨著 NFT 價格的飆升,針對 NFT 的黑客攻擊數量也在飆升。
最近一次備受矚目的黑客竊取了大約 600 以太幣(ETH)來自 DeFiance Capital 創始人 Arthur0x 的價值 NFT,然後在 OpenSea 上出售。
Chainaanalysis 發布的 2022 年加密貨幣犯罪報告強調,非法地址發送到 NFT 市場的價值在 2021 年大幅躍升,最高達到略低於 1.4 萬美元。 流向 NFT 市場的被盜資金也明顯增加。
鑑於流入 NFT 平台的非法價值迅速增加,人們自然會問安全措施和程序是否到位,如果有,這些措施是否能有效保護所有者。
我們來看看最大的NFT平台OpenSea及其安全措施。
OpenSea 的安全措施無法保護用戶
OpenSea 有兩項主要安全措施,一旦賬戶被“黑客攻擊”,就會立即啟動——鎖定受損賬戶並阻止被盜的 NFT。 仔細一看,這兩項措施都是非常無效的。
鎖定帳戶可以在 OpenSea 網站上完成,無需人工批准,因為 如圖 在這裡,阻止 NFT 需要一個漫長的過程,即提出請求並等待 OpenSea 幫助團隊做出回應。
在黑客已經侵入錢包並正在將 NFT 轉出的情況下,只有在黑客將所有內容轉出之前鎖定帳戶才會有效。
同樣,阻止 NFT 也只有在 NFT 被黑客出售給另一個買家之前才有效。 更糟糕的是,這種安全措施造成了一系列間接受害者,最終導致 NFT 被封鎖,無法出售或轉讓。 這是因為 OpenSea 中提出的工單的響應時間至少為一天。 當 NFT 被 OpenSea 封鎖時,它們可能已經被賣給了另一個買家,而後者現在成為了犯罪的新受害者。
在 Arthur17x 的 0 個 Azuki 被盜事件中,同一分鐘內有 15 個被盜,三分鐘後有 43 個被盜。 這些被盜的 NFT 在被出售之前在黑客錢包中平均停留的時間為 XNUMX 分鐘。 OpenSea 的安全措施反應速度不夠快,無法通知受害者並阻止黑客; 他們也無法及時通知買家,阻止他們購買被盜的 NFT 並成為間接受害者。
阻止被盜 NFT 會造成間接受害者
間接受害者是指並非被黑客攻擊的目標,但因被盜 NFT 被封鎖而間接遭受經濟損失的人。 從最近的許多 NFT 黑客攻擊中可以看出,NFT 總是在 OpenSea 實施該區塊之前被出售。 太晚封鎖 NFT 的後果是造成間接受害者,給更多人造成更大損失。
為了更詳細地說明任何人如何最終購買被盜的 NFT 並成為黑客攻擊的間接受害者,以下是三種常見情況:
案例1: Alice 購買了 NFT,但後來才發現它是被盜的資產。 NFT 被封鎖,Alice 無法在 OpenSea 上出售或轉讓它。 然後她開始提出支持票。 幾週後,OpenSea Trust & Safety 團隊提出退還 2.5% 的平台費用; 如果幸運的話,可能還有舉報盜竊的受害者的電子郵件地址。 然後,她可能會與受害者進行長時間的討論,以協商解除封鎖的可能性,但很可能最終不會成功。
Alice 仍然可以在其他市場上出售 NFT,但該特定係列的銷售量非常低,並且沒有買家可以在 OpenSea 以外的平台上提供公平的價格。
案例2: Alice 在對收藏中的 NFT 進行競價時提出了多個報價。 其中一項報價被黑客接受,然後黑客從受害者的錢包中收到了出價付款,並開始清理錢包。 NFT 後來作為受害者未經授權交易被盜資產的一部分被封鎖。
此類情況經常發生,因為除非取消上架,否則上架的 NFT 無法轉讓。 處於時間壓力下的黑客將更有可能接受出價並從銷售中獲得收益並將資金轉出。 下面的案例展示了間接受害者的整個 NFT 收藏如何被 OpenSea 封鎖且沒有任何解釋。
這是我關於如何進行的主題 @外海 在我提出 40 韋斯後,無理凍結了我的賬戶並凍結了我所有的 NFT @無聊猿YC 第6267章 被接受了。
我認為在NFT社區中傳播這個案例非常重要!
開始吧⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) 2021 年 11 月 10 日
案例3: Alice 擁有 NFT 已經有一段時間了,突然它被封鎖並被標記為“報告可疑活動”。 賣家的賬戶沒有被洩露,而且交易是不久前發生的。 由於不需要證據來報告被盜的 NFT 並阻止它,因此任何人都可以向 OpenSea 的反欺詐團隊發送電子郵件來阻止任何 NFT。
儘管稍後可以要求警方報告,但 OpenSea 既沒有明確聲明來具體說明證明黑客攻擊所需的證據,也沒有規定可以識別並從區塊中提取錯誤報告的被盜 NFT 的條件。 錯誤報告被盜 NFT 不會產生任何後果。
NFT 經常在沒有任何解釋或證據的情況下被封鎖,例如向間接受害者提供的警方報告。 理論上,這些 NFT 仍然可以在其他平台上交易,但鑑於 OpenSea 在市場上的壟斷地位,佔 NFT 交易總量的 95%,在 OpenSea 上阻止任何 NFT 幾乎相當於將其永遠趕出市場。
阻止 NFT 可能會人為提高價格
阻止被盜 NFT 在最大的 NFT 平台 OpenSea 上進行交易的危險在於供應的永久性減少。 基於 供求法則 在經濟學理論中,當供給減少時,價格就會上漲。
例如,Azuki 系列擁有 10,000 個 NFT,而目前 OpenSea 上僅出售 1,100 個 NFT。 Arthur0x 黑客攻擊導致 17 被盜並被封鎖。 儘管17枚NFT僅佔1.5枚流通供應量的1,100%左右,但其價格在黑客攻擊後已呈現上漲趨勢。 黑客攻擊發生於 22 月 XNUMX 日,價格 見頂 28 月 20.96 日至 31 E 在 55 月 XNUMX 日宣布空投之前,一周內增加了 XNUMX%。
雖然這17 個被盜的NFT 並未全部被封鎖,因為Arthur 通過與間接受害者協商回購了部分NFT,但未來類似形式的黑客攻擊將會不斷發生,隨著黑客攻擊的不斷發生,被封鎖的NFT 的累計數量只會不斷增加。沒有適當的程序來解鎖它們。
再次以 Azuki 為例,下圖收集了歷史銷售數量和平均價格來創建需求曲線,並假設供給曲線是線性的。 供給曲線和需求曲線的交點就是均衡價格。
隨著供給不斷減少,需求曲線的斜率越來越陡,價格上漲的速度也越來越快。 300 個 NFT 的供應量從 1,000 個減少到 700 個,與從 700 個減少到 400 個,導致後者的價格上漲幅度更大。
如下圖所示,減價15至21時,價格從1,000 ETH上漲至700 ETH,減價21至28時,價格從700 ETH上漲至400 ETH。
很明顯,阻止被盜的 NFT 可能會人為地提高藏品的價格。 如果有人想利用 OpenSea 安全系統的漏洞,錯誤地將同一收藏中的許多 NFT 報告為被盜(因為報告被盜 NFT 不需要任何證據),那麼如果供應量較低,該收藏的價格可能會大幅上漲。 這一漏洞可能會為非流動性 NFT 市場的價格操縱創造機會。
無論如何,封殺NFT並不是阻止黑客攻擊或懲罰黑客的有效措施,反而給市場操縱者製造了更多的間接受害者和漏洞。 這肯定不是辦法,那麼有什麼有效的安全措施呢?
需要製定預防措施和循證系統
當前的 OpenSea 安全系統沒有採取任何預防措施來提前保護用戶。 所有的安全措施都是在被黑客攻擊後才實施的,這也是它們無效的主要原因之一。
根據黑客的行為,時間是一個重要組成部分。 能夠減緩黑客攻擊或儘早通知受害者的安全措施是贏得這場戰鬥的關鍵。 以下是 OpenSea 可以實施的一些更有效的預防措施:
- 創建一個預警系統,可以檢測異常帳戶活動並發送即時短信或電子郵件警報以通知用戶此類活動,以便他們有足夠的時間做出響應。 例如,如果該賬戶在一分鐘內從未購買或轉讓過超過 XNUMX 個 NFT; 或者,如果該帳戶過去在特定時間段(即用戶睡覺時的時區)從未進行過任何活動,則機器學習算法將檢測到此類活動的發生。 帳戶持有人可以選擇立即通知,或允許帳戶自動鎖定以確保安全。
- 為用戶提供限制一個時間範圍內允許的NFT轉讓或銷售最大數量的選項,即一分鐘內最多轉讓或銷售一次; 或每次轉讓或出售之間施加的最小時間間隔,即下一次轉讓或出售只能在前一次轉讓或出售之後 15 分鐘發生。 這些措施可以防止黑客一次性竊取大量NFT。
- 創建可疑帳戶儀表板,使受害者能夠立即添加受損帳戶和黑客帳戶以供公眾監督。 這將為所有買家提供有關可疑賬戶的實時信息,並能夠在購買前交叉檢查賣家是否在名單上。 稍後可以要求受害者提供警方報告等證據,以證明所報告的賬戶確實受到損害。
其中一些措施可能會造成誤報和不便。 但考慮到預防措施是與黑客的時間競賽,用戶寧願安全也不願後悔,以避免成為下一個受害者。
關於加密貨幣黑客攻擊的常見誤解
關於加密貨幣黑客攻擊的一個常見誤解是“這不會發生在我身上,因為我的安全意識很高並且我使用硬錢包。” 確實,通過良好的安全實踐可以避免直接的惡意黑客攻擊,但任何人都可能成為針對其他人的黑客攻擊的間接受害者。 當黑客攻擊的數量增加時,成為間接受害者的機會也會大大增加。
另一個誤解是,“只要我的熱錢包裡不存太多錢,錢包是否被盜也沒關係。” 大多數用戶沒有意識到的是,金錢損失只是黑客攻擊的後果之一。 丟失 Web3 錢包就像丟失整個信用記錄。 基於過去活動(例如空投或獲得貸款和槓桿)的任何未來收益也可能隨著錢包受損而消失。
儘管區塊鍊是有史以來最安全的金融技術之一,但對基於加密的平台的惡意黑客攻擊是 Web3 企業面臨的最大威脅。
鑑於區塊鏈的不可逆性以及OpenSea缺乏預防性安全措施,不難看出OpenSea在區塊鏈事件發生後提出的最佳解決方案 以太坊域名拍賣黑客 是向黑客提供 25% 的銷售利潤,以換取歸還被盜 NFT。 只有在 NFT 市場的世界裡,犯罪分子才能因如此嚴重的犯罪而得到獎勵而不是受到懲罰。
作為NFT市場的壟斷者,OpenSea當然可以做得更好,更加重視安全措施,為用戶提供更多保護。
這裡表達的觀點和觀點僅僅是作者的觀點和觀點,並不一定反映Cointelegraph.com的觀點。 每一次投資和交易都涉及風險,您應該在做出決定時進行自己的研究。
資料來源:https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections