I furti NFT stanno facendo notizia. Ecco come puoi proteggerti, dice Indrë Viltrakyte, co-fondatore del I Ribelli.
Gli attacchi di phishing non sono nuovi. A volte, sono facili da individuare. Come quando arriva la richiesta di inviare le tue informazioni bancarie a un principe di una terra straniera lontana. Ma a volte, sono più difficili da individuare. Come quando una richiesta di approvazione del rilascio dei tuoi beni proviene da una fonte apparentemente affidabile.
Questo è ciò che è successo di recente in un caso di furto di phishing NFT. Gli utenti si fidavano di uno schema che coinvolgeva il Piattaforma Premint. Gli utenti hanno acconsentito alla richiesta di approvazione di un'entità sconosciuta per il controllo delle proprie risorse.
Il 17 luglio 2022, una popolare piattaforma NFT, Premint NFT, è stata violata. Sono stati rubati 314 NFT per un valore di $ 430,000. Gli autori sono stati in grado di impiantare codice dannoso sul sito Web ufficiale di Premint. Il codice indicava agli utenti di "impostare le approvazioni per tutti" quando collegavano i loro portafogli digitali al sito. Ciò ha consentito agli aggressori di accedere alle loro risorse crittografiche e di rubare i loro NFT.
Il nuovo mondo degli NFT – la collezione d'arte digitale – potrebbe essere in linea per ulteriori attacchi di phishing.
Rapine NFT: cosa viene rubato?
In genere quando sentiamo la parola NFT, pensiamo a un'immagine digitale unica e connessa alla blockchain. Tuttavia, è più elaborato di così. Quando si parla di NFT, il tracciamento della proprietà e l'unicità sono sempre accentuati. Ma da nessuna parte nello standard NFT è indicato cosa rappresentano i token univoci. Nella sua essenza, i gettoni sono solo numeri univoci. Sono gli autori della collezione NFT a definire cosa rappresentano questi token.
Inoltre, le immagini di solito non vengono mai "caricate nel file criptato portafoglio.” Non fanno parte del contratto NFT. Un hash dell'immagine potrebbe essere scritto nel contratto per creare una connessione con la cosa rappresentata dalla NFT. Inoltre, NFT come standard non si preoccupa del valore o delle operazioni di acquisto e vendita degli NFT. Fornisce solo metodi standard per trasferire la proprietà NFT. Sono i mercati e la comunità che si basano su questo e trattano gli NFT come merce.
Come merce, gli NFT vengono acquistati principalmente come oggetti da collezione, spesso utilizzati a scopo di investimento. Hanno sviluppato casi d'uso pratici solo di recente. Un esempio è indossabili di moda digitale nel Metaverso.
Cosa si può fare in futuro?
Di chi è la colpa? È l'utente? O la piattaforma, che ha consentito a un utente malintenzionato di avviare una transazione fraudolenta?
In questo caso particolare, gli aggressori sono stati in grado di visualizzare contenuti per indurre l'utente a firmare la transazione fraudolenta.
Un motivo vago e plausibile per la transazione in combinazione con la fiducia nel sito Web è stato sufficiente per ingannare molti. Detto questo, è irragionevole aspettarsi che l'utente medio di Web3 possa evitarlo. La maggior parte non aveva un background tecnologico sufficientemente forte per notare che la transazione stava effettivamente dando a qualcuno l'accesso ai suoi NFT.
È possibile indurre gli utenti a firmare transazioni se viene avviato da un sito Web attendibile. Le risorse nei portafogli degli utenti sono sicure solo quanto TUTTE le applicazioni decentralizzate (dapp) con cui l'utente interagisce messe insieme. È probabile che in futuro si verifichino casi identici.
I modi problemi di può essere migliorato:
1. I portafogli potrebbero visualizzare informazioni più orientate all'uomo per i tipi di interazione del contratto noti. Ad esempio, un enorme messaggio rosso che dice: "Ehi, stai dando il controllo di tutte le tue NFT a qualcuno!" Sarebbe molto meglio dell'attuale tutto maiuscolo "IMPOSTA APPROVAZIONE PER TUTTI" in grigio nella finestra di conferma della transazione di MetaMask.
2. I siti Web potrebbero elencare e pubblicare le interazioni contrattuali che potrebbero avviare. Ai fornitori piace MetaMask potrebbe rifiutare qualsiasi transazione non standard.
Rapine NFT: come possono gli utenti proteggersi
– Rivedere i dettagli della transazione prima di firmare. Questo non proteggerà l'utente il 100% delle volte. Ma rivedere quale metodo su quale contratto è fondamentale.
– Separare NFT (e altre risorse crittografiche) in più portafogli. Se gli utenti vengono indotti con l'inganno a dare a qualcuno il controllo delle proprie risorse in uno portafoglio, almeno le risorse in altri portafogli sono al sicuro. Questo è a condizione che tu non condivida la tua chiave privata o la frase seme.
– Usa diversi portafogli per diversi dapp. Non è sempre pratico farlo quando il dapp ha lo scopo di interagire con altre risorse nel portafoglio. Tuttavia, è importante provare a mantenere solo ciò che è rilevante.
L'autore
Indrë Viltrakytë è il co-fondatore di Web3 fashion venture I Ribelli. Ha 10101 personaggi unici basati sulla controversa campagna pubblicitaria "Gesù, Maria". La campagna è stata bandita ma in seguito ha trovato giustizia presso la Corte europea dei diritti dell'uomo, che si è pronunciata a favore del marchio. Il caso è ora considerato un precedente nei casi relativi alla libertà di espressione nell'UE. Indrė Viltrakytė ha oltre 10 anni di esperienza nel settore della moda.
Hai qualcosa da dire sulle rapine NFT o altro? Scrivici oppure partecipa alla discussione nel ns Canale Telegram. Puoi anche beccarci Tik Tok, Facebook, o Twitter.
Negazione di responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo di informazione generale. Qualsiasi azione intrapresa dal lettore sulle informazioni trovate sul nostro sito web è rigorosamente a proprio rischio.
Fonte: https://beincrypto.com/nft-heists-attacks-many-to-come/