科学技术

以下是 OpenSea NFT 黑客如何伤害所有者、买家甚至整个收藏品

04/12/2022
比特币以太币新闻

自 2021 年夏天以来,不可替代的代币 (NFT) 市场一直在蓬勃发展,随着 NFT 价格的飙升,针对 NFT 的黑客数量也在飙升。 

最近一次备受瞩目的黑客窃取了大约 600 Ether (ETH) 价值来自 DeFiance Capital 创始人 Arthur0x 的 NFT,然后在 OpenSea 上出售。

Chainalysis 发布的 2022 年加密货币犯罪报告强调,通过非法地址发送到 NFT 市场的价值在 2021 年显着增长,最高达到略低于 1.4 万美元。 发送到 NFT 市场的被盗资金也明显增加。

流向 NFT 平台的总非法价值。 资料来源:Chainalysis 2022 年加密犯罪报告

鉴于流入 NFT 平台的非法价值迅速增加,人们很自然地要问是否有安全措施和程序,如果有,这些措施是否能有效保护所有者。

让我们来看看最大的 NFT 平台 OpenSea,以及它的安全措施。

OpenSea 的安全措施无法保护用户

OpenSea 有两种主要的安全措施,一旦账户被“黑客攻击”就会启动——锁定被盗的账户和阻止被盗的 NFT。 仔细观察这两个措施是非常无效的。

无需人工批准即可在 OpenSea 网站上锁定帐户 如图 在这里,虽然阻止 NFT 涉及提出票证并等待 OpenSea 帮助团队响应的漫长过程。

在黑客已经入侵钱包并正在将 NFT 转出的情况下,锁定帐户只有在黑客将所有内容转出之前完成才会有效。

图片

同样,阻止 NFT 也只有在 NFT 被黑客出售给另一个买家之前才有效。 更糟糕的是,这种安全措施会造成一系列间接受害者,最终导致无法出售或转让的 NFT 被封锁。 这是因为 OpenSea 中提出的票证的响应时间至少为一天。 当 NFT 被 OpenSea 封锁时,它们已经被卖给了另一个买家,而这个买家现在成为了犯罪的新受害者。

在 Arthur17x 被盗的 0 个 Azuki 案例中,15 个在同一分钟内被盗,43 个在 XNUMX 分钟后被盗。 这些被盗的 NFT 在被出售之前在黑客钱包中的平均停留时间为 XNUMX 分钟。 OpenSea 的安全措施根本无法响应和快速通知受害者并阻止黑客; 他们也不能及时通知买家,以阻止他们购买被盗的 NFT 并成为间接受害者。

从 Aurther0x 窃取的 Azuki NFT。 来源: Etherscan.io

阻止被盗的 NFT 会造成间接受害者

间接受害者是指不是被黑客攻击的目标,但间接遭受因被盗 NFT 被阻止而造成的经济损失的人。 从最近的许多 NFT 黑客中可以看出,NFT 总是在 OpenSea 实施区块之前被出售。 太晚阻止 NFT 的后果是它会造成间接受害者,并为更多人带来更多损失。

为了更详细地说明任何人最终如何购买被盗的 NFT 并成为黑客的间接受害者,以下是三种常见情况:

案例1: Alice 购买了 NFT,但后来才发现它是被盗资产。 NFT 被封锁,Alice 无法在 OpenSea 上出售或转让它。 然后她继续提出支持票。 几周后,OpenSea Trust & Safety 团队提出退还 2.5% 的平台费用; 如果幸运的话,可能还有报告盗窃的受害者的电子邮件地址。 然后,她可能会与受害者进行长时间的讨论,以协商解除障碍的可能性,而这很可能最终无济于事。

Alice 仍然可以在其他市场出售 NFT,但这个特定收藏的销量非常低,并且没有买家可以在 OpenSea 以外的平台上提供公平的价格。

OpenSea 对购买被盗 NFT 的间接受害者的回应

案例2: Alice 在从一个集合中竞标 NFT 时提出了多个要约。 其中一个报价被黑客接受,然后黑客在受害者的钱包中收到了来自投标的付款,并开始清理钱包。 NFT 后来作为受害者未经授权的交易被盗资产的一部分被阻止。

此类情况经常发生,因为除非取消上架,否则上架的 NFT 无法转让。 处于时间压力之下的黑客将更有可能接受出价并获得销售收益并将资金转出。 下面的案例展示了间接受害者的整个 NFT 集合是如何被 OpenSea 封锁的,没有任何解释。

案例3: Alice 拥有 NFT 已有一段时间了,突然它被阻止并标记为“报告可疑活动”。 卖家的账户没有被盗,交易发生在前一段时间。 由于报告被盗 NFT 并阻止它不需要证据,因此任何人都可以向 OpenSea 的反欺诈团队发送电子邮件以阻止任何 NFT。

虽然稍后可以要求警方报告,但 OpenSea 既没有明确声明指定证明黑客攻击所需的证据,也没有明确说明可以识别并从区块中取出虚假报告的被盗 NFT 的条件。 虚假报告被盗的 NFT 不会有任何后果。

NFT 通常在没有解释或证据的情况下被阻止,例如向间接受害者提供的警方报告。 从理论上讲,这些 NFT 仍然可以在其他平台上交易,但鉴于 OpenSea 在市场上的垄断地位,占 NFT 总交易量的 95%,在 OpenSea 上阻止任何 NFT 几乎等于将它们永远退出市场。

阻止 NFT 可能会人为地提高价格

阻止被盗 NFT 在最大的 NFT 平台 OpenSea 上交易的危险在于供应的永久性减少。 基于 供求法则 在经济学理论中,当供应减少时,价格就会上涨。

例如,Azuki 系列有 10,000 个 NFT,目前在 OpenSea 上只有 1,100 个在售。 Arthur0x 黑客导致 17 人被盗并被阻止。 虽然 17 个 NFT 只占 1.5 个流通量的 1,100% 左右,但在被黑后价格已经呈现上涨趋势。 黑客攻击发生在 22 月 XNUMX 日,价格 见顶 在 28 月 20.96 日至 31 E 之前的 55 月 XNUMX 日空投公告 - 一周内增加了 XNUMX%。

黑客攻击后的 Azuki 销售额和平均价格。 资料来源:OpenSea

尽管由于 Arthur 通过与间接受害者谈判以将其买回,因此并非所有 17 个被盗 NFT 都被阻止,但未来类似形式的黑客攻击将不断发生,并且随着黑客攻击的继续,被阻止的 NFT 的累积数量只会增加没有程序可以解除封锁。

再次以 Azuki 为例,下图收集了历史销售数量和平均价格来创建需求曲线,并假设供给曲线是线性的。 供求曲线的交点就是均衡价格。

随着供给不断减少,随着需求曲线的斜率越来越陡,价格上涨的速度变得越来越快。 300 个 NFT 的供应量从 1,000 个减少到 700 个,而从 700 个减少到 400 个,则后者的价格上涨幅度更大。

如下图所示,价格从 15 ETH 增加到 21 ETH,从 1,000 减少到 700,但从 21 ETH 增加到 28 ETH,从 700 减少到 400。

Azuki 的供需曲线基于 OpenSea 的销售和价格

很明显,阻止被盗的 NFT 可能会人为地提高收藏品的价格。 如果有人想利用 OpenSea 安全系统的漏洞,将同一收藏中的许多 NFT 错误地报告为被盗(因为报告被盗 NFT 不需要证据),如果供应量低,收藏的价格可能会大幅上涨. 这一漏洞可能会为流动性不足的 NFT 市场中的价格操纵创造机会。

无论如何,封杀 NFT 并不是阻止黑客攻击或惩罚黑客的有效措施,反而为市场操纵者制造了更多的间接受害者和漏洞。 这肯定不是办法,那么有什么有效的安全措施吗?

预防措施和循证系统需要到位

当前的 OpenSea 安全系统没有任何预防措施来提前保护用户。 所有的安全措施都是在被黑之后才实施的,这是它们无效的主要原因之一。

根据黑客的行为,时间是必不可少的组成部分。 可以减缓黑客速度或及早通知受害者的安全措施是赢得战斗的关键。 以下是 OpenSea 可以实施的一些更有效的预防措施:

  • 创建一个预警系统,可以检测异常的帐户活动,并发送即时短信或电子邮件警报,以通知用户此类活动,以便他们有足够的时间做出响应。 例如,如果该账户在一分钟内从未购买或转移过超过一个 NFT; 或者如果账户在特定时间段(即用户睡着的时区)过去从未有过任何活动,机器学习算法将检测到此类活动的发生。 账户持有人可以选择立即通知,或允许账户自动锁定以确保安全。
  • 为用户提供限制一个时间范围内允许的最大NFT转账或销售次数的选项,即一分钟内最多一次转账或销售; 或在每次转让或销售之间施加的最小时间间隔,即下一次转让或销售只能在前一次转让或销售后 15 分钟发生。 这些措施可以防止黑客一次性窃取大量 NFT。
  • 创建可疑帐户仪表板,使受害者可以立即添加被盗帐户和黑客帐户以供公众审查。 这将为所有买家提供有关可疑账户的实时信息,并能够在购买前交叉检查卖家是否在名单上。 稍后可以要求受害者提供警方报告等证据,以证明所报告的账户确实受到了损害。

其中一些措施可能会造成误报和不便。 但鉴于在预防措施方面与黑客进行时间赛跑,用户宁愿安全也不愿后悔避免成为下一个受害者。

关于加密黑客的常见误解

关于加密黑客的一个常见误解是“这不会发生在我身上,因为我的安全意识很高,而且我使用的是硬钱包。” 确实可以通过良好的安全实践来避免直接的恶意黑客攻击,但任何人都可能成为针对他人的黑客攻击的间接受害者。 当黑客数量增加时,成为间接受害者的机会也会高得多。

另一个误解是,“只要我的热钱包里不存太多钱,钱包被盗用也没关系。” 大多数用户没有意识到的是,金钱损失只是黑客攻击的一个后果。 丢失 Web3 钱包就像丢失了整个信用记录。 基于过去活动(例如空投或获得贷款和杠杆)的任何未来收益也可能随着钱包受损而消失。

尽管区块链是有史以来最安全的金融技术之一,但对基于加密的平台的恶意黑客攻击是对 Web3 企业的最大威胁。

鉴于区块链的不可逆转性和 OpenSea 缺乏预防性安全措施,不难看出 OpenSea 在 以太坊域名拍卖黑客 是向黑客提供 25% 的销售利润,以换取被盗 NFT 的归还。 只有在 NFT 市场的世界中,犯罪分子才能因如此严重的犯罪而获得奖励而不是受到惩罚。

作为 NFT 市场的垄断者,OpenSea 肯定可以做得更好,更加重视安全措施,为用户提供更多保护。

这里表达的观点和观点仅仅是作者的观点和观点,并不一定反映Cointelegraph.com的观点。 每一次投资和交易都涉及风险,您应该在做出决定时进行自己的研究。