NFT: nuovi obiettivi di frode

L'automazione delle frodi richiede migliori difese, a cominciare dall'identità digitale.

L'altro giorno ho acquistato un token non fungibile (NFT). L'ho comprato su OpenSea, uno dei principali mercati NFT. Se sei interessato all'arte, è un cartone animato della talentuosa artista Helen Holmes. Nel caso foste interessati alla speculazione, questo è quello che ho comprato. Proviene dalla sua collezione "originals" ed è ora orgogliosamente in mostra nel mio portafoglio di crypto.com affinché tutti lo vedano.

Ho incaricato Helen di disegnare le vignette che uso qui per illustrare i miei articoli, quindi so per certo che è reale, che le vignette sono originali create da lei e che ho il diritto di usarle di comune accordo. E, sono felice di dire, che se qualcuno compra uno dei suoi NFT, i soldi vanno a lei, l'artista meritevole. A quanto pare, questo rende la "mia" NFT uno dei pochi esempi legittimi di alcuni, perché il mese scorso OpenSea ha affermato che oltre l'80% delle NFT create gratuitamente sulla piattaforma sono "opere plagiate, raccolte false e spam".

(Dico "il mio" NFT, sebbene possieda un NFT non mi dà alcun diritto nella proprietà intellettuale sottostante, che appartiene ancora a Helen, o l'accesso unico all'immagine stessa che chiunque può scaricare semplicemente facendo clic con il tasto destro sull'immagine sopra.)

Anche gli NFT che non sono falsi e truffatori sono spesso loschi, per non dire altro. Includo in questa categoria l'NFT di una radiografia di uno dei sopravvissuti al massacro di Bataclane a Parigi, messa in vendita dal chirurgo che l'ha curata! E questo non ha a che fare con OpenSea, ma con l'intero mercato.

In realtà, "mercato" è probabilmente la parola sbagliata, perché uno studio recente trovato che "il 10% più ricco dei trader da solo esegue l'85% di tutte le transazioni e negozia almeno una volta il 97% di tutte le attività". Guardando i numeri, il 10 percento più ricco delle "coppie acquirente-venditore" è attivo come tutti gli altri messi insieme. È un parco giochi quasi completamente catturato dalle balene.

Quando la piattaforma che ha venduto l'NFT del primo tweet in assoluto di Jack Dorsey per tre milioni di dollari americani interrompe la maggior parte delle transazioni perché i creatori contraffatti vendevano token di contenuti che non appartenevano a loro, penso che possiamo tutti essere d'accordo sul fatto che c'è un problema fondamentale con il commercio di asset digitali.

Innovazione

Sembra che le NFT forniscano una piattaforma per l'innovazione nelle frodi e per l'innovazione nelle opere creative. Uno dei tipi più comuni è quello che è noto come "wash trading", dove gruppi di truffatori scambiano un NFT tra loro, a un prezzo sempre più alto, fino a quando qualcuno che non fa parte del gruppo e che pensa che il prezzo sia reale (nel linguaggio colloquiale inglese dell'investment banking, tali individui sono conosciuti come "mug punters") intervengono per acquistare "l'arte". A quel punto, il gruppo ha diviso il ricavato tra loro, sciacquare e ripetere.

(Questa frode, in cui i venditori sono entrambi i lati della vendita, è dilagante. E non si tratta solo di alcuni cryptobros che saccheggiano il pubblico gonfiando falsamente il valore degli NFT. Il Tesoro degli Stati Uniti ha già espresso preoccupazione che l'attività possa essere utilizzata per riciclaggio di denaro.)

OpenSea è stato recentemente superato in volume da LooksRare. LooksRare premia finanziariamente gli utenti per il loro volume di scambi, il che prevedibilmente significa che i ladri giocano al sistema. Società di analisi crittografiche CryptoSlam stimato questo circa l'87% del volume totale degli scambi dal lancio è in realtà il wash trading.

(Wash trading di NFT, secondo un dettagliato Studio di analisi della catena della questione, presenta un'interessante asimmetria: la maggior parte dei trader non è stata redditizia, ma quelli di successo ne hanno tratto così tanto profitto che, nel complesso, il gruppo ne ha tratto un profitto immenso.)

Detto che gli NFT sono una piattaforma per l'innovazione nella frode, sono costretto ad ammettere che a volte ammiro l'ingegnosità di alcuni hacker/sfruttatori di criptovalute che hanno trovato lavoro in questo nuovo mondo. Prendi, ad esempio, la "scappatoia" di OpenSea che è stata sfruttata perché alcuni proprietari di NFT non erano a conoscenza del fatto che i loro vecchi elenchi di vendita erano ancora attivi. Questi vecchi elenchi sono stati trovati e gli NFT sono stati acquistati. Ciò ha portato alla perdita di più NFT costosi a prezzi stracciati. 

(Il problema era che gli NFT venivano venduti ai vecchi prezzi di offerta fatti quando gli NFT avevano molto meno valore. Per fare un esempio specifico, un aggressore ha pagato un totale di $ 133,000 per sette NFT prima di venderli rapidamente per $ 934,000 in ETH. Cinque ore dopo i guadagni illeciti sono stati inviati tramite Tornado Cash, un servizio di "miscelazione" utilizzato per impedire il tracciamento blockchain dei fondi.)

Come Tom Robinson della società di analisi blockchain Elliptic ha spiegato, questa frode ingegnosa (anche se devo dire non così complessa) ha poi portato a ulteriori frodi perché OpenSea ha inviato un'e-mail agli utenti che avevano ancora vecchi elenchi NFT ed erano quindi suscettibili a questa frode. Tuttavia, l'annullamento del vecchio elenco richiedeva una transazione ETH, quindi gli intraprendenti entusiasti della finanza alternativa freelance dietro la frode originale hanno quindi creato robot per cercare queste particolari transazioni e anticiparli per acquistare gli NFT prima che l'elenco fosse cancellato.

(In altre parole, cercando di essere d'aiuto e dire agli utenti di cancellare gli elenchi vulnerabili, il mercato ha fornito esattamente le informazioni necessarie agli autori per automatizzare i loro attacchi.)

Scala e portata

Non tutte le frodi sono particolarmente complesse. Sono stati persi un sacco di soldi a causa di frodi molto basilari come il "rug pull", per cui ingegneri innovativi di criptovaluta annunciano il rilascio di una nuova favolosa risorsa digitale che farà cose incredibili in futuro, aumenterà di 100 volte il valore in quasi zero tempo e curare il cancro in arrivo. Il pubblico risponde con entusiasmo e inonda gli emittenti di contanti, a quel punto gli emittenti svaniscono, cancellando il loro sito Web, la chat di Telegram e i profili falsi di LinkedIn in arrivo. Il pubblico fa uscire i gatti virtuali dalle borse virtuali e scopre che non rimane più niente.

(MonkeyJzz era una truffa! Chi lo sapeva!)

Ci sono frodi, tuttavia, che sfruttano maggiormente la natura della nuova infrastruttura. Il "honeypot" è uno di questi esempi. In un honeypot, il programmatore degli smart contract che controlla un nuovo token inserisce il codice backdoor per assicurarsi che solo il proprio portafoglio possa effettivamente vendere! Tutti gli altri che acquistano token scoprono che i loro soldi sono bloccati nell'honeypot mentre il truffatore che ha creato lo smart contract può incassare in qualsiasi momento.

La menzione degli honeypot ci porta in nuove aree. Molte delle frodi più importanti che abbondano coinvolgono progetti di finanza decentralizzata o DeFi più di $ 10 miliardi persi a causa di furti e frodi DeFi, come mostra un rapporto ellittico di novembre. E questo è solo l'inizio secondo me, perché la capacità di automatizzare le frodi nello spazio DeFi è uno sviluppo affascinante e terrificante.

(La frode automatizzata non si limita al mondo web3, ovviamente. PayPal ha recentemente chiuso 4.5 milioni di conti e abbassato le sue previsioni per i nuovi clienti dopo aver scoperto che le bot farm stavano sfruttando i suoi incentivi. Avevano offerto $ 10 come incentivo per aprire nuovi conti, a a che punto i robot hanno iniziato a coltivare i campi PayPal invece delle persone. Come ho sempre sostenuto, un giorno la credenziale IS-A-PERSON sarà la credenziale più preziosa di tutte.)

Quando si tratta di web3, l'intersezione di contratti intelligenti pieni di errori di programmazione, criptovalute e anonimato è un campo di gioco completamente nuovo per truffatori, terroristi e burloni. La combinazione di automazione e complessità è tossica e deve essere affrontata in anticipo. Odio dirlo ancora una volta, ma la via da seguire è attraverso un'infrastruttura di identità digitale del 21° secolo funzionante e adatta allo scopo. Forse la DeFi (attingendo a credenziali verificabili e prove a conoscenza zero), piuttosto che CeFi (attingendo a identità federate e attributi condivisi), potrebbe dare il via a un'infrastruttura di identità che a sua volta diventerà la sua eredità duratura.