Nel febbraio 2022, OpenSea vittima di un grave attacco di phishing che ha portato a oltre $ 1.7 milioni in token non fungibili (NFT) essere rubato agli utenti. Non è stato l'unico incidente: secondo quanto riferito, gli utenti Blockchain ha perso 3.9 miliardi di dollari a causa di attività fraudolente solo in 2022.
Quando siamo entrati nel 2023, c'è stato un coro di promesse per aumentare la sicurezza all'interno dello spazio crittografico. Ma, finora, le cose non sono cambiate in modo significativo. Le aziende che utilizzano blockchain non stanno ancora facendo abbastanza per prevenire le truffe.
Se la tecnologia blockchain vedrà l'adozione di massa, le aziende dovranno cambiare il loro approccio dal basso verso l'alto. Concentrandosi sull'istruzione e implementando processi migliori per identificare attività dannose, queste piattaforme possono servire meglio i propri clienti man mano che lo spazio continua a crescere.
Le piattaforme blockchain devono imparare a identificare le attività dannose
Nel caso dell'hacking di OpenSea, alle vittime è stato chiesto di firmare un contratto incompleto, apparentemente su richiesta della piattaforma. Sebbene l'infrastruttura principale di OpenSea non sia stata violata, gli account falsi sono stati in grado di sfruttare il protocollo Wyvern open source. Gli hacker sono stati quindi in grado di utilizzare la firma del proprietario essere trasferiti a un falso contratto che dava loro la proprietà senza dover pagare i NFT.
Correlato: 10 previsioni per le criptovalute nel 2023
OpenSea ha recentemente annullato alcune delle sue politiche precedenti dopo che lo era segnalati che l'80% degli NFT coniati gratuitamente sulla piattaforma sono stati plagiati o spam. OpenSea fa affidamento anche sulla fiducia negli sviluppatori che utilizzano la sua API, che non è un modo infallibile per valutare il rischio. Questi sviluppatori potrebbero utilizzare l'API per scopi dannosi per sfruttare gli utenti che firmano contratti che non leggono.
Smart Contract sono parte integrante del motore blockchain e si possono trovare ovunque, dagli scambi NFT alle vere e proprie applicazioni decentralizzate. Comprendere come funzionano questi contratti è fondamentale per proteggere gli utenti. Piuttosto che reinventare la ruota, le aziende possono implementare protocolli standard per garantire che i contratti intelligenti siano resilienti e protetti da attività dannose. Da lì, le aziende possono trarre vantaggio dalla natura flessibile della blockchain e personalizzare il proprio contratto, come l'impostazione di portafogli multifirma e test unitari regolari.
Attenzione all'airdrop di spam
Se cerchi la popolare collezione Mutant Hounds presente nelle migliori collezioni di OpenSea, non c'è alcuna indicazione su quale collezione sia legittima. La mancanza di verifica può portare alla formazione di raccolte contraffatte, aumentando artificialmente il prezzo per farlo sembrare legittimo e confondere gli utenti. Le raccolte false vengono spesso distribuite tramite airdrop, destinati a essere trovati tramite la funzionalità di ricerca di una piattaforma NFT.
Correlato: Cosa sbaglia Paul Krugman sulle criptovalute
Le raccolte di spam possono anche inviare agli utenti NFT che non hanno richiesto tramite airdrop. Gli utenti verranno reindirizzati non attraverso la piattaforma in cui detengono una raccolta, come OpenSea, ma tramite un sito diverso, dove si verifica la truffa.
Questo è un rischio comune che può essere affrontato dalle piattaforme che monitorano tale attività, tramite un database di crowdsourcing che tiene traccia degli account fraudolenti o uno strumento amministrativo che sa cosa cercare ed è costantemente a conoscenza delle truffe aggiornate. Inoltre, le piattaforme NFT possono richiedere che le offerte siano nella stessa valuta dell'elenco per evitare confusione. Molti utenti sono stati truffati accettando un'offerta in una valuta meno preziosa di quella in cui avevano messo in vendita l'NFT. Le piattaforme blockchain possono fare affidamento sui dati per esporre i propri valori anomali segnalando attività sospette basate su attività irregolari tra un numero limitato di titolari.
Ovviamente, va notato che aziende come OpenSea si trovano nella difficile posizione di dover controllare gli account fraudolenti che coniano sulla loro piattaforma. In molti casi, si riduce alla necessità di una maggiore verifica della riscossione ufficiale.
L'onboarding è parte integrante del piano aziendale
L'onboarding dovrebbe essere una parte fondamentale dell'esperienza blockchain per utenti veterani e principianti. Come i contratti intelligenti, stabilire linee guida chiare per gli utenti ed evidenziare i potenziali rischi dovrebbe essere considerata una delle migliori pratiche fondamentali per garantire la sicurezza degli utenti. Queste guide dovrebbero essere riviste regolarmente, tenendo conto della valutazione del rischio, e adeguate di conseguenza man mano che la blockchain matura.
Tra gli utenti esperti, l'inizializzazione "DYOR" è comune tra gli utenti della blockchain. Come abbreviazione di "fai la tua ricerca", questa espressione è diventata una regola non detta per coloro che interagiscono con potenziali opportunità di investimento. Tuttavia, può essere difficile per i nuovi arrivati sapere esattamente da dove iniziare. C'è un coro di informazioni discordanti da parte di influencer all'interno dello spazio che spesso spingono la prossima grande novità e guidano investimenti rischiosi, con il risultato che gli utenti cadono vittime di truffe o perdita di risorse. Linee guida e materiali educativi dovrebbero essere prontamente disponibili, curati in base al sistema di valori di ciascuna piattaforma e ai rischi unici.
Le migliori pratiche dovrebbero essere una priorità per tutte le piattaforme blockchain
Poiché la comunità blockchain attualmente sta affrontando i suoi crescenti dolori, le aziende dovrebbero prendere le dure lezioni apprese attraverso grandi exploit come quelli su OpenSea e perfezionare i loro protocolli di sicurezza per garantire che ciò non accada di nuovo. Imparare i dettagli della tecnologia di base, dai contratti intelligenti a come proteggere la propria frase seme, dovrebbe essere il punto di partenza. Da lì, impara come implementare e mantenere le migliori pratiche, come l'identificazione di attività dannose e quelle che provocano il caos. Forse tutto ciò che sarebbe servito per prevenire alcuni dei più recenti hack su larga scala era semplicemente che qualcuno si accorgesse che qualcosa sembrava non funzionare.
Michael R. Pierce è il co-fondatore e CEO di NotCommon. Ha conseguito sia il BBA che l'MBA presso l'Università del Texas ad Austin.
Questo articolo è a scopo informativo generale e non è inteso e non deve essere considerato un consiglio legale o di investimento. I punti di vista, i pensieri e le opinioni qui espressi sono solo dell'autore e non riflettono necessariamente o rappresentano i punti di vista e le opinioni di Cointelegraph.
Fonte: https://cointelegraph.com/news/opensea-must-become-more-ambitious-about-fighting-hackers