NFTs: Neue Betrugsziele

Die Automatisierung von Betrug erfordert bessere Abwehrmaßnahmen, angefangen bei der digitalen Identität.

Ich habe neulich einen nicht fungiblen Token (NFT) gekauft. Ich habe es auf OpenSea gekauft, einem der großen NFT-Marktplätze. Falls Sie sich für Kunst interessieren, es handelt sich um einen Cartoon der talentierten Künstlerin Helen Holmes. Falls Sie an Spekulationen interessiert sind: Dies ist das, was ich gekauft habe. Es stammt aus ihrer „Original“-Sammlung und ist jetzt stolz für alle sichtbar in meiner crypto.com-Wallet ausgestellt.

Ich habe Helen damit beauftragt, die Cartoons zu zeichnen, die ich zur Illustration meiner Artikel hier verwende, sodass ich mit Sicherheit weiß, dass sie echt ist, dass die Cartoons von ihr erstellte Originale sind und dass ich aufgrund unserer eigenen Vereinbarung das Recht habe, sie zu verwenden. Und ich freue mich, sagen zu können, dass, wenn jemand einen ihrer NFTs kauft, das Geld an sie geht, die Künstlerin, die es verdient hat. Wie sich herausstellt, ist „mein“ NFT damit eines der wenigen legitimen Beispiele von einigen, denn letzten Monat sagte OpenSea, dass über 80 % der NFTs, die kostenlos auf der Plattform erstellt wurden, „plagiierte Werke, gefälschte Sammlungen und Spam".

(Ich sage „mein“ NFT, obwohl ich ein NFT besitze gibt mir keine Rechte am zugrunde liegenden geistigen Eigentum, das immer noch Helen gehört, oder einzigartigen Zugriff auf das Bild selbst, das jeder herunterladen kann, indem er einfach mit der rechten Maustaste auf das Bild oben klickt.)

Sogar die NFTs, die keine Fälschungen und Betrügereien sind, sind, gelinde gesagt, oft zwielichtig. Ich schließe in diese Kategorie die NFT einer Röntgenaufnahme eines der Überlebenden des Bataclan-Massakers eine in Paris, das von dem Chirurgen, der sie behandelte, zum Verkauf angeboten wurde! Und das hat nichts mit OpenSea zu tun, sondern mit dem gesamten Markt.

Eigentlich ist „Markt“ wohl das falsche Wort, wie eine aktuelle Studie zeigt festgestellt, dass „Allein die oberen 10 % der Händler führen 85 % aller Transaktionen durch und handeln mindestens einmal 97 % aller Vermögenswerte.“ Betrachtet man die Zahlen, sind die oberen 10 Prozent der „Käufer-Verkäufer-Paare“ genauso aktiv wie alle anderen zusammen. Es ist ein Spielplatz, der fast vollständig von Walen eingenommen wird.

Wenn die Plattform, die den NFT von Jack Dorseys erstem Tweet überhaupt für drei Millionen US-Dollar verkauft hat, die meisten Transaktionen stoppt, weil gefälschte Urheber Token von Inhalten verkauft haben, die ihnen nicht gehörten, dann sind wir uns meiner Meinung nach alle einig, dass es ein grundlegendes Problem gibt der Handel mit digitalen Vermögenswerten.

Innovation

Es sieht so aus, als ob NFTs eine Plattform für Innovationen im Bereich Betrug sowie Innovationen bei kreativen Werken bieten. Eine der häufigsten Arten ist das sogenannte „Wash Trading“, bei dem Gruppen von Betrügern untereinander einen NFT zu einem immer höheren Preis tauschen, bis jemand, der nicht Teil der Gruppe ist und denkt, dass der Preis real ist (im umgangssprachlichen englischen Investmentbanking-Sprachgebrauch werden solche Personen als „Mug Punters“ bezeichnet) springt ein, um die „Kunst“ zu kaufen. An diesem Punkt teilte die Gruppe den Erlös untereinander auf, spülte und wiederholte den Vorgang.

(Dieser Betrug, bei dem die Verkäufer beide Seiten des Verkaufs sind, ist weit verbreitet. Und es geht nicht nur darum, dass einige Kryptobros die Öffentlichkeit ausplündern, indem sie den Wert von NFTs fälschlicherweise erhöhen. Das US-Finanzministerium hat bereits Bedenken geäußert, dass die Aktivität für Zwecke genutzt werden könnte Geldwäsche.)

OpenSea wurde kürzlich volumenmäßig von LooksRare überholt. LooksRare belohnt Benutzer finanziell für ihr Handelsvolumen, was vorhersehbar bedeutet, dass Schurken das System betrügen. Kryptoanalyseunternehmen CryptoSlam schätzte das Ungefähr 87 Prozent des gesamten Handelsvolumens seit der Einführung ist tatsächlich Wash-Trading.

(Wash-Handel von NFTs, laut einer detaillierten Studie zur Kettenanalyse Das Problem weist eine interessante Asymmetrie auf: Die meisten Händler waren unrentabel, aber die erfolgreichen haben so viel profitiert, dass die Gruppe als Ganzes enorm profitiert hat.)

Obwohl NFTs eine Plattform für Innovationen im Bereich Betrug sind, muss ich zugeben, dass ich manchmal den Einfallsreichtum einiger Krypto-Hacker/-Ausbeuter bewundere, die in dieser neuen Welt Arbeit finden. Nehmen wir zum Beispiel die „Lücke“ von OpenSea, die ausgenutzt wurde, weil einige NFT-Besitzer nicht wussten, dass ihre alten Verkaufsangebote noch aktiv waren. Diese alten Angebote wurden gefunden und die NFTs gekauft. Dies führte zum Verlust mehrerer teurer NFTs zu Tiefstpreisen. 

(Das Problem bestand darin, dass die NFTs zu alten Angebotspreisen verkauft wurden, als die NFTs noch viel weniger wertvoll waren. Um ein konkretes Beispiel zu nennen: Ein Angreifer zahlte insgesamt 133,000 US-Dollar für sieben NFTs bevor er sie schnell für 934,000 US-Dollar in ETH weiterverkaufte. Fünf Stunden später wurden die unrechtmäßig erworbenen Gewinne über Tornado Cash gesendet, einen „Mischdienst“, der verwendet wird, um die Blockchain-Rückverfolgung von Geldern zu verhindern.)

Als Tom Robinson vom Blockchain-Analyseunternehmen Elliptic erklärt, dieser geniale (wenn auch nicht so komplexe) Betrug führte dann zu noch mehr Betrug, weil OpenSea eine E-Mail an Benutzer verschickte, die noch alte NFT-Einträge hatten und daher anfällig für diesen Betrug waren. Die Aufhebung der alten Notierung erforderte jedoch eine ETH-Transaktion, sodass die unternehmungslustigen, freiberuflichen Enthusiasten alternativer Finanzen, die hinter dem ursprünglichen Betrug standen, dann Bots erstellten, um nach diesen bestimmten Transaktionen Ausschau zu halten und sie zum Kauf der NFTs zu bewegen, bevor die Notierung aufgehoben wurde.

(Mit anderen Worten: Durch den Versuch, den Benutzern zu helfen und sie aufzufordern, die gefährdeten Einträge zu löschen, hat der Marktplatz genau die Informationen preisgegeben, die die Täter zur Automatisierung ihrer Angriffe benötigen.)

Maßstab und Umfang

Nicht alle Betrugsfälle sind besonders komplex. Durch sehr einfache Betrügereien wie den „Rug Pull“, bei dem innovative Kryptowährungsingenieure die Veröffentlichung eines fabelhaften neuen digitalen Vermögenswerts ankündigen, der in der Zukunft erstaunliche Dinge bewirken wird und seinen Wert in kürzester Zeit um das Hundertfache steigern wird, ist sehr viel Geld verloren gegangen Zeit und Heilung von Krebs auf dem Weg. Die Öffentlichkeit reagiert mit Begeisterung und überhäuft die Emittenten mit Bargeld. Anschließend verschwinden die Emittenten und löschen unterwegs ihre Website, ihren Telegram-Chat und ihre gefälschten LinkedIn-Profile. Das Publikum lässt die virtuellen Katzen aus den virtuellen Säcken und stellt fest, dass ihnen nichts mehr übrig bleibt.

(MonkeyJizz war ein Betrug! Wer wusste!)

Es gibt jedoch Betrügereien, die die Natur der neuen Infrastruktur stärker ausnutzen. Der „Honeypot“ ist ein solches Beispiel. In einem Honeypot fügt der Programmierer der Smart Contracts, die einen neuen Token steuern, einen Hintertürcode ein, um sicherzustellen, dass nur seine eigene Wallet tatsächlich verkaufen kann! Alle anderen, die Tokens kaufen, stellen fest, dass ihr Geld im Honeypot steckt, während der Betrüger, der den Smart Contract erstellt hat, sich jederzeit auszahlen lassen kann.

Die Erwähnung von Honeypots führt uns in neue Bereiche. Viele der bemerkenswertesten Betrügereien, die es gibt, betreffen dezentrale Finanz- oder DeFi-Projekte mehr als 10 Milliarden US-Dollar durch DeFi-Diebstahl und -Betrug verloren, wie ein Elliptic-Bericht vom November zeigt. Und das ist meiner Meinung nach erst der Anfang, denn die Fähigkeit, Betrug im DeFi-Bereich zu automatisieren, ist eine faszinierende und erschreckende Entwicklung.

(Automatischer Betrug ist natürlich nicht auf die Web3-Welt beschränkt. PayPal hat kürzlich 4.5 Millionen Konten geschlossen und seine Prognose für neue Kunden gesenkt, nachdem festgestellt wurde, dass Bot-Farmen seine Anreize ausnutzten. Sie hatten 10 US-Dollar als Anreiz für die Eröffnung neuer Konten angeboten An diesem Punkt begannen Bots anstelle von Menschen, die PayPal-Felder zu bearbeiten. Wie ich stets behauptet habe, wird eines Tages der IS-A-PERSON-Zugang der wertvollste Zugang von allen sein.)

Wenn es um Web3 geht, ist die Schnittstelle zwischen intelligenten Verträgen voller Programmierfehler, Kryptowährungen und Anonymität ein völlig neues Spielfeld für Betrüger, Terroristen und Scherze. Die Kombination aus Automatisierung und Komplexität ist giftig und muss im Vorfeld angegangen werden. Ich hasse es, es noch einmal zu sagen, aber der Weg nach vorne führt über eine funktionierende, zweckmäßige digitale Identitätsinfrastruktur des 21. Jahrhunderts. Vielleicht könnte DeFi (basierend auf überprüfbaren Referenzen und Zero-Knowledge-Beweisen) anstelle von CeFi (basierend auf föderierten Identitäten und gemeinsamen Attributen) eine Identitätsinfrastruktur in Gang setzen, die wiederum zu ihrem bleibenden Vermächtnis wird.