Il mercato dei token non fungibili (NFT) è in piena espansione dall'estate del 2021 e con l'aumento vertiginoso dei prezzi di NFT, è aumentato anche il numero di hack mirati agli NFT.
Il più recente hack di alto profilo ha sottratto circa 600 Ether (ETH) per un valore di NFT di Arthur0x, il fondatore di DeFiance Capital, che sono stati poi venduti su OpenSea.
Un Crypto Crime Report del 2022 pubblicato da Chainalysis ha evidenziato che il valore inviato ai mercati NFT da indirizzi illeciti è aumentato in modo significativo nel 2021, toccando poco meno di 1.4 milioni di dollari. C'è stato anche un chiaro aumento dei fondi rubati inviati ai mercati NFT.
Dato il preoccupante rapido aumento del valore illecito che affluisce alle piattaforme NFT, viene naturale chiedersi se siano in atto misure e procedure di sicurezza e, in caso affermativo, se tali misure siano efficaci a tutela dei proprietari.
Diamo un'occhiata a OpenSea, la più grande piattaforma NFT, e alle sue misure di sicurezza.
Le misure di sicurezza di OpenSea non possono proteggere gli utenti
OpenSea ha due misure di sicurezza principali che si attivano una volta che un account è stato "hackerato": bloccare l'account compromesso e bloccare gli NFT rubati. Queste due misure sono molto inefficaci se osservate da vicino.
Il blocco dell'account può essere eseguito sul sito Web di OpenSea senza l'approvazione umana mostrato qui, mentre il blocco degli NFT comporta un lungo processo di raccolta di un ticket e l'attesa della risposta del team di assistenza di OpenSea.
In una situazione in cui un hacker ha già compromesso il portafoglio ed è in procinto di trasferire gli NFT, il blocco dell'account sarà efficace solo se viene eseguito prima che l'hacker trasferisca tutto.
Allo stesso modo, il blocco degli NFT è efficace solo prima che gli NFT vengano venduti a un altro acquirente dall'hacker. Quel che è ancora peggio è che questa misura di sicurezza crea una serie di vittime indirette che finiscono con NFT bloccati che non possono essere venduti o trasferiti. Questo perché il tempo di risposta per i ticket raccolti in OpenSea è di almeno un giorno. Nel momento in cui le NFT saranno bloccate da OpenSea, sarebbero già state vendute a un altro acquirente che ora diventa la nuova vittima del crimine.
Nel caso delle 17 Azuki rubate da Arthur0x, 15 sono state rubate nello stesso minuto e due sono state rubate tre minuti dopo. Il tempo medio di permanenza di questi NFT rubati nel portafoglio dell'hacker prima di essere venduti è di 43 minuti. Le misure di sicurezza di OpenSea non sono in alcun modo reattive e sufficientemente rapide da informare la vittima e fermare l'hacker; né possono informare gli acquirenti abbastanza tempestivamente da impedire loro di acquistare gli NFT rubati e diventare vittime indirette.
Il blocco degli NFT rubati crea vittime indirette
Una vittima indiretta è qualcuno che non è il bersaglio dell'hacking ma subisce indirettamente le perdite finanziarie causate dal blocco degli NFT rubati. Come visto da molti recenti hack NFT, gli NFT vengono sempre venduti prima che il blocco venga implementato da OpenSea. La conseguenza di bloccare le NFT troppo tardi è che crea vittime indirette e maggiori perdite per più persone.
Per illustrare più in dettaglio come chiunque potrebbe finire per acquistare un NFT rubato e diventare una vittima indiretta di un hack, ecco tre casi comuni:
Caso 1: Alice ha acquistato un NFT ma ha scoperto solo in seguito che si tratta di un bene rubato. L'NFT è bloccato e Alice non può venderlo o trasferirlo su OpenSea. Quindi procede alla raccolta di un ticket di supporto. Dopo diverse settimane, il team di OpenSea Trust & Safety si offre di rimborsare le commissioni della piattaforma del 2.5%; ed eventualmente l'indirizzo email della vittima che ha denunciato il furto se fortunata. Quindi, probabilmente avrà una lunga discussione con la vittima per negoziare la possibilità di sollevare il blocco, che molto probabilmente non finirà da nessuna parte.
Alice può ancora vendere NFT in altri mercati, ma il volume delle vendite è molto basso per questa particolare collezione e non c'è nessun acquirente che possa offrire un prezzo equo su piattaforme diverse da OpenSea.
Caso 2: Alice ha fatto più offerte mentre faceva offerte su NFT da una raccolta. Una delle offerte è stata accettata dall'hacker, che ha poi ricevuto il pagamento dell'offerta nel portafoglio della vittima e ha proceduto a svuotare il portafoglio. La NFT è stata successivamente bloccata come parte dei beni rubati da transazioni non autorizzate da parte della vittima.
Casi come questo si verificano spesso perché gli NFT elencati non possono essere trasferiti a meno che l'elenco non venga annullato. L'hacker, che ha poco tempo, sarà più propenso ad accettare un'offerta e ottenere i proventi della vendita e trasferire il denaro. Il caso seguente mostra come l'intera raccolta NFT della vittima indiretta sia stata bloccata da OpenSea senza spiegazioni.
Ecco il mio thread su come @mare aperto irragionevolmente bloccato il mio account e congelato tutti i miei NFT dopo la mia offerta per 40 weth @BoredApeYC #6267 è stato accettato.
Penso che sia molto importante diffondere questo caso nella comunità NFT!
Iniziamo ⬇️ pic.twitter.com/xnxctpzzpl— Mpa3yka (@Mpa3yka) 10 Novembre 2021
Caso 3: Alice possiede un NFT da un po' di tempo e all'improvviso viene bloccato e contrassegnato come "segnalato per attività sospetta". L'account del venditore non è compromesso e la transazione è avvenuta qualche tempo fa. Poiché non sono richieste prove per segnalare un NFT rubato e bloccarlo, chiunque può inviare un'e-mail al team antifrode di OpenSea per bloccare qualsiasi NFT.
Sebbene un rapporto di polizia possa essere richiesto in seguito, non c'è né una dichiarazione chiara da parte di OpenSea per specificare le prove necessarie per provare l'hacking né una condizione in base alla quale un NFT rubato falsamente segnalato può essere identificato e rimosso dal blocco. Non vi è alcuna conseguenza per la falsa segnalazione di NFT rubati.
Le NFT sono spesso bloccate senza spiegazioni o prove come i rapporti della polizia forniti alla vittima indiretta. Teoricamente, questi NFT possono ancora essere scambiati su altre piattaforme, ma dato il monopolio di OpenSea sul mercato, con il 95% del volume totale degli scambi NFT, bloccare qualsiasi NFT su OpenSea equivale quasi a portarli fuori dal mercato per sempre.
Il blocco degli NFT potrebbe aumentare artificialmente il prezzo
Il pericolo di bloccare gli NFT rubati dal trading sulla più grande piattaforma NFT OpenSea è la riduzione permanente dell'offerta. Basato sul legge della domanda e dell'offerta nella teoria economica, quando l'offerta diminuisce, il prezzo aumenta.
Ad esempio, la collezione Azuki ha 10,000 NFT e attualmente solo 1,100 sono in vendita su OpenSea. L'hacking di Arthur0x ha comportato il furto e il blocco di 17 unità. Sebbene 17 NFT rappresentino solo l'1.5% circa delle 1,100 forniture circolanti, il prezzo ha già mostrato una tendenza all'aumento dopo l'hacking. L'hack è avvenuto il 22 marzo e il prezzo raggiunto il picco dal 28 marzo alle 20.96 E prima dell'annuncio dell'airdrop del 31 marzo: un aumento del 55% entro una settimana.
Sebbene non tutti i 17 NFT rubati siano bloccati poiché Arthur è riuscito a recuperarne alcuni negoziando con le vittime indirette per riacquistarli, futuri hack in una forma simile avverranno continuamente e il numero cumulativo di NFT bloccati può solo aumentare man mano che gli hack continuano e non sono in atto procedure per sbloccarli.
Utilizzando nuovamente Azuki come esempio, il grafico seguente raccoglie il numero storico di vendite e il prezzo medio per creare una curva di domanda e presuppone che la curva di offerta sia lineare. Il punto in cui le curve di domanda e offerta si intersecano è il prezzo di equilibrio.
Poiché l'offerta diminuisce continuamente, la velocità di aumento del prezzo diventa più veloce man mano che la pendenza della curva di domanda diventa più ripida. Un uguale decremento di 300 NFT nell'offerta da 1,000 a 700 contro 700 a 400 si traduce in un aumento di prezzo maggiore per questi ultimi.
Come mostrato nel grafico sottostante, il prezzo aumenta da 15 ETH a 21 ETH dalla riduzione di 1,000 a 700, ma aumenta di più da 21 ETH a 28 ETH dalla riduzione di 700 a 400.
È chiaro che il blocco delle NFT rubate potrebbe aumentare artificialmente il prezzo della raccolta. Se qualcuno volesse sfruttare la lacuna nel sistema di sicurezza di OpenSea segnalando falsamente molti NFT della stessa collezione come rubati (poiché non è richiesta alcuna prova per denunciare NFT rubati), il prezzo della raccolta potrebbe aumentare notevolmente se l'offerta è bassa . Questa scappatoia potrebbe creare opportunità di manipolazione dei prezzi nel mercato NFT illiquido.
In ogni caso, bloccare gli NFT non è una misura efficace per fermare l'hacking o punire l'hacker, ma al contrario, crea vittime e scappatoie più indirette per i manipolatori del mercato. Questa non è certamente la strada da percorrere, quindi esiste una misura di sicurezza efficace?
Devono essere in atto misure preventive e un sistema basato sull'evidenza
L'attuale sistema di sicurezza di OpenSea non prevede misure preventive per proteggere gli utenti in anticipo. Tutte le misure di sicurezza vengono implementate solo dopo l'hacking, che è uno dei motivi principali per cui sono inefficaci.
In base ai comportamenti degli hacker, il tempo è una componente essenziale. Le misure di sicurezza che possono rallentare l'hacker o informare tempestivamente le vittime sono le chiavi per vincere la battaglia. Ecco alcune misure preventive più efficaci che possono essere implementate da OpenSea:
- Crea un sistema di allerta precoce in grado di rilevare attività anomale dell'account e inviare messaggi di testo istantanei o avvisi e-mail per informare gli utenti di tale attività in modo che abbiano abbastanza tempo per rispondere. Ad esempio, se l'account non ha mai acquistato o trasferito più di un NFT in un minuto; o se l'account non ha mai avuto attività in passato durante un periodo di tempo specifico (es. fusi orari in cui l'utente dorme), il verificarsi di tali attività verrà rilevato da algoritmi di apprendimento automatico. Il titolare dell'account può scegliere di essere informato immediatamente o consentire il blocco automatico dell'account per motivi di sicurezza.
- Fornire agli utenti la possibilità di limitare il numero massimo di trasferimenti o vendite NFT consentiti entro un periodo di tempo, ovvero un massimo di un trasferimento o vendita entro un minuto; o un intervallo di tempo minimo imposto tra ogni trasferimento o vendita, ovvero il trasferimento o la vendita successiva può avvenire solo 15 minuti dopo quello precedente. Queste misure possono impedire agli hacker di rubare un gran numero di NFT in una volta sola.
- Crea dashboard di account sospetti che consentono alle vittime di aggiungere istantaneamente account compromessi e account di hacker per il controllo pubblico. Ciò fornirà a tutti gli acquirenti informazioni in tempo reale sugli account sospetti e la possibilità di verificare se il venditore è nell'elenco prima di acquistare. Prove come un rapporto di polizia possono essere richieste in seguito alla vittima per dimostrare che gli account denunciati sono effettivamente compromessi.
Alcune di queste misure potrebbero creare falsi allarmi e disagi. Ma dato che è una corsa al tempo contro l'hacker quando si tratta di misure preventive, gli utenti preferirebbero essere sicuri che dispiaciuti per evitare di diventare la prossima vittima.
Idee sbagliate comuni sull'hacking delle criptovalute
Un malinteso comune sull'hacking delle criptovalute è che "questo non mi succederà perché la mia consapevolezza della sicurezza è alta e utilizzo un portafoglio rigido". Potrebbe essere vero che un hack dannoso diretto potrebbe essere evitato attraverso una buona pratica di sicurezza, ma chiunque potrebbe diventare una vittima indiretta di un hack che prende di mira qualcun altro. Quando il numero di hack aumenta, anche la possibilità di diventare una vittima indiretta è molto più alta.
Un altro equivoco è: "finché non tengo troppi soldi nel mio portafoglio caldo, non importa se il portafoglio è compromesso". Ciò che la maggior parte degli utenti non riesce a capire è che la perdita monetaria è solo una delle ripercussioni dell'hack. Perdere un portafoglio Web3 è come perdere l'intera storia creditizia. Eventuali benefici futuri basati su attività passate come airdrops o accesso a prestiti e leva potrebbero anche svanire con il portafoglio compromesso.
Sebbene la blockchain sia una delle tecnologie finanziarie più sicure mai create, gli hack dannosi verso le piattaforme crittografiche rappresentano la più grande minaccia per l'impresa Web3.
Data la natura irreversibile della blockchain e la mancanza di misure di sicurezza preventive di OpenSea, non è difficile vedere la soluzione migliore che OpenSea ha trovato dopo il Hacking dell'asta del dominio Ethereum è offrire all'hacker un profitto del 25% dalla vendita in cambio della restituzione degli NFT rubati. Solo nel mondo del mercato NFT un criminale può essere ricompensato piuttosto che punito per un crimine così grave.
In quanto monopolio del mercato NFT, OpenSea può sicuramente fare di meglio e prendere più seriamente le misure di sicurezza e fornire maggiore protezione ai suoi utenti.
Le opinioni e le opinioni espresse qui sono esclusivamente quelle dell'autore e non riflettono necessariamente le opinioni di Cointelegraph.com. Ogni investimento e mossa di trading comporta dei rischi, dovresti condurre la tua ricerca quando prendi una decisione.
Fonte: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections