Der Markt für nicht fungible Token (NFT) boomt seit Sommer 2021, und als die NFT-Preise in die Höhe schossen, stieg auch die Zahl der Hacks, die auf NFTs abzielen.
Der jüngste hochkarätige Hack hat ungefähr 600 Ether (ETH) im Wert von NFTs von Arthur0x, dem Gründer von DeFiance Capital, die dann auf OpenSea verkauft wurden.
Ein von Chainalysis veröffentlichter Crypto Crime Report aus dem Jahr 2022 hob hervor, dass der Wert, der von illegalen Adressen an NFT-Marktplätze gesendet wurde, im Jahr 2021 erheblich gestiegen ist und knapp 1.4 Millionen US-Dollar erreicht hat. Es gab auch einen deutlichen Anstieg gestohlener Gelder, die an NFT-Marktplätze geschickt wurden.
Angesichts des besorgniserregenden schnellen Anstiegs illegaler Werte, die in die NFT-Plattformen fließen, stellt sich natürlich die Frage, ob Sicherheitsmaßnahmen und -verfahren vorhanden sind und wenn ja, ob diese Maßnahmen zum Schutz der Eigentümer wirksam sind.
Werfen wir einen Blick auf OpenSea, die größte NFT-Plattform, und ihre Sicherheitsmaßnahmen.
Die Sicherheitsmaßnahmen bei OpenSea können die Benutzer nicht schützen
OpenSea verfügt über zwei Hauptsicherheitsmaßnahmen, die greifen, sobald ein Konto „gehackt“ wurde – das Sperren des kompromittierten Kontos und das Blockieren der gestohlenen NFTs. Diese beiden Maßnahmen sind bei genauer Betrachtung sehr wirkungslos.
Das Sperren des Kontos kann auf der OpenSea-Website ohne menschliche Zustimmung erfolgen gezeigt hier, während das Blockieren der NFTs einen langwierigen Prozess des Erstellens eines Tickets und des Wartens auf die Antwort des OpenSea-Hilfeteams erfordert.
In einer Situation, in der ein Hacker die Brieftasche bereits kompromittiert hat und dabei ist, die NFTs zu übertragen, ist das Sperren des Kontos nur wirksam, wenn dies erfolgt ist, bevor der Hacker alles übertragen hat.
Ebenso ist die Sperrung der NFTs auch nur wirksam, bevor die NFTs durch den Hacker an einen anderen Käufer verkauft werden. Noch schlimmer ist, dass diese Sicherheitsmaßnahme eine Reihe von indirekten Opfern schafft, die mit blockierten NFTs enden, die nicht verkauft oder übertragen werden können. Denn die Reaktionszeit für in OpenSea gestellte Tickets beträgt mindestens einen Tag. Bis die NFTs von OpenSea blockiert werden, wären sie bereits an einen anderen Käufer verkauft worden, der nun das neue Opfer des Verbrechens wird.
Im Fall der 17 gestohlenen Azuki von Arthur0x wurden 15 innerhalb derselben Minute und zwei drei Minuten später gestohlen. Die durchschnittliche Zeit, die diese gestohlenen NFTs in der Brieftasche des Hackers blieben, bevor sie verkauft wurden, beträgt 43 Minuten. Die Sicherheitsmaßnahmen von OpenSea sind in keiner Weise reaktionsschnell und schnell genug, um das Opfer zu informieren und den Hacker zu stoppen; Sie können die Käufer auch nicht rechtzeitig genug informieren, um sie davon abzuhalten, die gestohlenen NFTs zu kaufen und indirekte Opfer zu werden.
Das Blockieren gestohlener NFTs schafft indirekte Opfer
Ein indirektes Opfer ist jemand, der nicht das Ziel des Hacks ist, aber indirekt unter den finanziellen Verlusten leidet, die durch die Sperrung der gestohlenen NFTs verursacht werden. Wie aus vielen aktuellen NFT-Hacks hervorgeht, werden die NFTs immer verkauft, bevor der Block von OpenSea implementiert wird. Die Folge einer zu späten Sperrung der NFTs ist, dass dadurch indirekte Opfer und weitere Verluste für mehr Menschen entstehen.
Um detaillierter zu veranschaulichen, wie jemand am Ende ein gestohlenes NFT kaufen und indirekt Opfer eines Hacks werden könnte, sind hier drei häufige Fälle:
Bei 1: Alice hat einen NFT gekauft, aber erst später herausgefunden, dass es sich um einen gestohlenen Vermögenswert handelt. Die NFT ist gesperrt und Alice kann sie nicht auf OpenSea verkaufen oder übertragen. Sie fährt dann fort, ein Support-Ticket zu erstellen. Nach einigen Wochen bietet das Team von OpenSea Trust & Safety an, die Plattformgebühren in Höhe von 2.5 % zu erstatten; und möglicherweise die E-Mail-Adresse des Opfers, das den Diebstahl gemeldet hat, wenn Sie Glück haben. Dann wird sie wahrscheinlich eine lange Diskussion mit dem Opfer führen, um die Möglichkeit auszuhandeln, die Sperre aufzuheben, was höchstwahrscheinlich nirgendwo enden wird.
Alice kann das NFT immer noch auf anderen Marktplätzen verkaufen, aber das Verkaufsvolumen für diese spezielle Sammlung ist sehr gering, und es gibt keinen Käufer, der auf anderen Plattformen als OpenSea einen fairen Preis anbieten kann.
Bei 2: Alice machte mehrere Angebote, während sie auf NFTs aus einer Sammlung bot. Eines der Angebote wurde vom Hacker angenommen, der dann die Zahlung aus dem Gebot in der Brieftasche des Opfers erhielt und die Brieftasche leerte. Die NFT wurde später als Teil der gestohlenen Vermögenswerte aus nicht autorisierten Transaktionen des Opfers gesperrt.
Fälle wie dieser treten häufig auf, weil gelistete NFTs nicht übertragen werden können, es sei denn, die Notierung wird storniert. Der Hacker, der unter Zeitdruck steht, wird eher ein Kaufangebot annehmen und den Erlös aus dem Verkauf erhalten und das Geld überweisen. Der folgende Fall zeigt, wie die gesamte NFT-Sammlung des indirekten Opfers von OpenSea ohne Erklärung blockiert wurde.
Hier ist mein Thread darüber, wie @offenes Meer unangemessenerweise mein Konto gesperrt und alle meine NFTs nach meinem Angebot für 40 we eingefroren @BoredApeYC #6267 wurde akzeptiert.
Ich denke, es ist sehr wichtig, diesen Fall in der NFT-Community zu verbreiten!
Fangen wir an ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) 10. November 2021
Bei 3: Alice besitzt seit geraumer Zeit ein NFT und plötzlich wird es blockiert und als „wegen verdächtiger Aktivität gemeldet“ markiert. Das Konto des Verkäufers ist nicht kompromittiert und die Transaktion ist schon eine Weile her. Da keine Beweise erforderlich sind, um eine gestohlene NFT zu melden und zu sperren, kann jeder eine E-Mail an das Betrugsbekämpfungsteam von OpenSea senden, um eine NFT zu sperren.
Obwohl später ein Polizeibericht angefordert werden kann, gibt es weder eine klare Aussage von OpenSea, um die Beweise zu spezifizieren, die zum Beweis des Hacks erforderlich sind, noch eine Bedingung, unter der ein fälschlicherweise gemeldeter gestohlener NFT identifiziert und aus dem Block entfernt werden kann. Es gibt keine Konsequenzen, wenn gestohlene NFTs fälschlicherweise gemeldet werden.
NFTs werden oft ohne Erklärung oder Beweise wie Polizeiberichte, die dem indirekten Opfer vorgelegt werden, blockiert. Theoretisch können diese NFTs immer noch auf anderen Plattformen gehandelt werden, aber angesichts des Monopols von OpenSea auf dem Markt mit 95 % des gesamten NFT-Handelsvolumens ist das Blockieren von NFTs auf OpenSea fast gleichbedeutend damit, sie für immer aus dem Markt zu nehmen.
Das Blockieren von NFTs könnte den Preis künstlich erhöhen
Die Gefahr, gestohlene NFTs für den Handel auf der größten NFT-Plattform OpenSea zu sperren, besteht in der dauerhaften Reduzierung des Angebots. Basierend auf Gesetz von Angebot und Nachfrage In der Wirtschaftstheorie steigt der Preis, wenn das Angebot sinkt.
Beispielsweise umfasst die Azuki-Kollektion 10,000 NFTs, von denen derzeit nur 1,100 auf OpenSea zum Verkauf angeboten werden. Der Arthur0x-Hack führte dazu, dass 17 gestohlen und blockiert wurden. Obwohl 17 NFTs nur etwa 1.5 % des 1,100 zirkulierenden Angebots ausmachen, hat der Preis nach dem Hack bereits einen steigenden Trend gezeigt. Der Hack geschah am 22. März und der Preis Höhepunkt am 28. März bis 20.96 E vor der Airdrop-Ankündigung am 31. März – eine Steigerung von 55 % innerhalb einer Woche.
Obwohl nicht alle der 17 gestohlenen NFTs blockiert sind, da es Arthur gelang, einige durch Verhandlungen mit den indirekten Opfern über den Rückkauf wiederzuerlangen, werden zukünftige Hacks in ähnlicher Form kontinuierlich stattfinden, und die kumulierte Anzahl blockierter NFTs kann nur zunehmen, wenn die Hacks andauern und Es sind keine Verfahren vorhanden, um sie zu entsperren.
Am Beispiel von Azuki erfasst die folgende Grafik die historische Anzahl der Verkäufe und den Durchschnittspreis, um eine Nachfragekurve zu erstellen, und geht davon aus, dass die Angebotskurve linear ist. Der Punkt, an dem sich Angebots- und Nachfragekurve schneiden, ist der Gleichgewichtspreis.
Da das Angebot kontinuierlich abnimmt, wird die Geschwindigkeit des Preisanstiegs schneller, je steiler die Steigung der Nachfragekurve wird. Ein gleicher Rückgang des Angebots um 300 NFTs von 1,000 auf 700 gegenüber von 700 auf 400 führt zu einem größeren Preisanstieg für letztere.
Wie in der Grafik unten gezeigt, steigt der Preis von 15 ETH auf 21 ETH von der 1,000-auf-700-Reduktion, steigt aber stärker von 21 ETH auf 28 ETH von der 700-auf-400-Reduktion.
Es ist klar ersichtlich, dass das Blockieren der gestohlenen NFTs den Preis der Sammlung künstlich erhöhen könnte. Wenn jemand die Lücke im OpenSea-Sicherheitssystem ausnutzen wollte, indem er viele NFTs aus derselben Sammlung fälschlicherweise als gestohlen meldete (da für die Meldung gestohlener NFTs keine Beweise erforderlich sind), könnte der Preis der Sammlung dramatisch steigen, wenn das Angebot gering ist . Diese Lücke könnte Möglichkeiten für Preismanipulationen auf dem illiquiden NFT-Markt schaffen.
In jedem Fall ist das Blockieren von NFTs keine wirksame Maßnahme, um den Hack zu stoppen oder den Hacker zu bestrafen, sondern schafft im Gegenteil mehr indirekte Opfer und Schlupflöcher für Marktmanipulatoren. Dies ist sicherlich nicht der richtige Weg, gibt es also wirksame Sicherheitsmaßnahmen?
Vorbeugende Maßnahmen und ein evidenzbasiertes System müssen vorhanden sein
Das aktuelle Sicherheitssystem von OpenSea hat keine vorbeugenden Maßnahmen, um Benutzer im Voraus zu schützen. Alle Sicherheitsmaßnahmen werden erst nach dem Hack implementiert, was einer der Hauptgründe für ihre Unwirksamkeit ist.
Basierend auf dem Verhalten der Hacker ist Zeit eine wesentliche Komponente. Sicherheitsmaßnahmen, die den Hacker verlangsamen oder die Opfer frühzeitig informieren können, sind der Schlüssel zum Sieg. Hier sind einige effektivere vorbeugende Maßnahmen, die von OpenSea umgesetzt werden können:
- Erstellen Sie ein Frühwarnsystem, das abnormale Kontoaktivitäten erkennen und sofortige Textnachrichten oder E-Mail-Benachrichtigungen senden kann, um Benutzer über solche Aktivitäten zu informieren, damit sie genügend Zeit haben, zu reagieren. Zum Beispiel, wenn das Konto nie mehr als eine NFT innerhalb einer Minute gekauft oder transferiert hat; oder wenn das Konto in der Vergangenheit während eines bestimmten Zeitraums (dh Zeitzonen, in denen der Benutzer schläft) noch nie Aktivitäten hatte, wird das Auftreten solcher Aktivitäten durch maschinelle Lernalgorithmen erkannt. Der Kontoinhaber kann wählen, ob er sofort benachrichtigt werden möchte, oder das Konto aus Sicherheitsgründen automatisch sperren lassen.
- Bieten Sie Benutzern die Möglichkeit, die maximal zulässige Anzahl von NFT-Transfers oder -Verkäufen innerhalb eines Zeitrahmens zu beschränken, dh maximal einen Transfer oder Verkauf innerhalb einer Minute; oder ein Mindestzeitintervall, das zwischen jedem Transfer oder Verkauf auferlegt wird, dh der nächste Transfer oder Verkauf kann nur 15 Minuten nach dem vorherigen stattfinden. Diese Maßnahmen können verhindern, dass Hacker eine große Anzahl von NFTs auf einmal stehlen.
- Erstellen Sie Dashboards für verdächtige Konten, die es Opfern ermöglichen, kompromittierte Konten und Konten von Hackern sofort zur öffentlichen Überprüfung hinzuzufügen. Dadurch erhalten alle Käufer Echtzeitinformationen über verdächtige Konten und die Möglichkeit, vor dem Kauf zu überprüfen, ob der Verkäufer auf der Liste steht. Beweise wie ein Polizeibericht können später vom Opfer angefordert werden, um zu beweisen, dass die gemeldeten Konten tatsächlich kompromittiert wurden.
Einige dieser Maßnahmen können zu Fehlalarmen und Unannehmlichkeiten führen. Aber da es bei den vorbeugenden Maßnahmen gegen den Hacker zu einem Wettlauf der Zeit kommt, möchten die Benutzer lieber auf Nummer sicher gehen, um nicht das nächste Opfer zu werden.
Häufige Missverständnisse über Krypto-Hacking
Ein weit verbreitetes Missverständnis über Krypto-Hacking ist, dass „mir das nicht passieren wird, weil mein Sicherheitsbewusstsein hoch ist und ich eine Hard Wallet verwende“. Es mag stimmen, dass ein direkter böswilliger Hack durch gute Sicherheitspraktiken vermieden werden könnte, aber jeder könnte indirekt Opfer eines Hacks werden, der auf jemand anderen abzielt. Wenn die Anzahl der Hacks zunimmt, ist auch die Chance, indirekt Opfer zu werden, viel höher.
Ein weiterer Irrglaube lautet: „Solange ich nicht zu viel Geld in meiner Hot Wallet aufbewahre, spielt es keine Rolle, ob die Wallet kompromittiert ist.“ Was die meisten Benutzer nicht erkennen, ist, dass finanzielle Verluste nur eine Folge des Hacks sind. Der Verlust einer Web3-Wallet ist wie der Verlust Ihrer gesamten Kredithistorie. Alle zukünftigen Vorteile, die auf früheren Aktivitäten wie Airdrops oder dem Zugang zu Krediten und Leverage beruhen, könnten sich ebenfalls mit der kompromittierten Brieftasche verflüchtigen.
Obwohl Blockchain eine der sichersten Finanztechnologien ist, die jemals entwickelt wurden, sind böswillige Hacks auf kryptobasierte Plattformen die größte Bedrohung für das Web3-Unternehmen.
Angesichts der irreversiblen Natur der Blockchain und des Mangels an präventiven Sicherheitsmaßnahmen von OpenSea ist es nicht schwer, die beste Lösung zu erkennen, die OpenSea nach dem entwickelt hat Ethereum-Domain-Auktions-Hack besteht darin, dem Hacker einen 25%igen Gewinn aus dem Verkauf im Austausch für die Rückgabe der gestohlenen NFTs anzubieten. Nur in der Welt des NFT-Marktes kann ein Krimineller für ein so schweres Verbrechen eher belohnt als bestraft werden.
Als Monopolist des NFT-Marktes kann OpenSea sicherlich besser abschneiden und Sicherheitsmaßnahmen ernster nehmen und seinen Benutzern mehr Schutz bieten.
Die hier geäußerten Ansichten und Meinungen sind ausschließlich die des Autors und spiegeln nicht unbedingt die Ansichten von Cointelegraph.com wider. Jeder Investment- und Trading-Schritt birgt Risiken, Sie sollten Ihre eigenen Recherchen durchführen, wenn Sie eine Entscheidung treffen.
Quelle: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections