Fungible token (NFT) piyasası 2021 yazından bu yana patlama yaşıyor ve NFT fiyatları hızla yükselirken, NFT'leri hedef alan hack'lerin sayısı da arttı.
En son yüksek profilli hack, yaklaşık 600 Ether (ETH) DeFiance Capital'in kurucusu Arthur0x'ten, daha sonra OpenSea'de satılan NFT değerinde.
Chainalysis tarafından yayınlanan bir 2022 Kripto Suç Raporu, yasadışı adresler tarafından NFT pazarlarına gönderilen değerin 2021'de önemli ölçüde arttığını ve 1.4 milyon doların biraz altında olduğunu vurguladı. NFT pazarlarına gönderilen çalıntı fonlarda da açık bir artış oldu.
NFT platformlarına akan yasadışı değerdeki hızlı artış göz önüne alındığında, güvenlik önlemleri ve prosedürlerinin mevcut olup olmadığını ve varsa bu önlemlerin sahiplerini korumada etkili olup olmadığını sormak doğaldır.
En büyük NFT platformu olan OpenSea'ya ve güvenlik önlemlerine bir göz atalım.
OpenSea'deki güvenlik önlemleri kullanıcıları koruyamaz
OpenSea, bir hesap "saldırıya uğradığında" devreye giren iki ana güvenlik önlemine sahiptir: ele geçirilen hesabı kilitleme ve çalınan NFT'leri engelleme. Bu iki önlem, yakından bakıldığında çok etkisizdir.
Hesabın kilitlenmesi, OpenSea web sitesinde insan onayı olmadan yapılabilir. gösterilen burada, NFT'leri engellemek, uzun bir destek talebi oluşturma ve OpenSea yardım ekibinin yanıt vermesini bekleme sürecini içerir.
Bir bilgisayar korsanının cüzdanı zaten tehlikeye attığı ve NFT'leri aktarma sürecinde olduğu bir durumda, hesabın kilitlenmesi yalnızca bilgisayar korsanı her şeyi aktarmadan önce yapılırsa etkili olacaktır.
Benzer şekilde, NFT'leri engellemek de ancak NFT'ler bilgisayar korsanı tarafından başka bir alıcıya satılmadan önce etkilidir. Daha da kötüsü, bu güvenlik önlemi, satılamayan veya devredilemeyen bloke NFT'lerle sonuçlanan bir dizi dolaylı kurban yaratıyor. Bunun nedeni, OpenSea'de toplanan biletlerin yanıt süresinin en az bir gün olmasıdır. NFT'ler OpenSea tarafından bloke edildiğinde, şimdi suçun yeni kurbanı olan başka bir alıcıya satılmış olacaklardı.
Arthur17x'ten çalınan 0 Azuki durumunda, 15'i aynı dakika içinde ve ikisi üç dakika sonra çalındı. Bu çalınan NFT'lerin satılmadan önce bilgisayar korsanının cüzdanında kalma süresi ortalama 43 dakikadır. OpenSea'nin güvenlik önlemleri hiçbir şekilde mağduru bilgilendirecek ve bilgisayar korsanını durduracak kadar hızlı yanıt vermiyor; ne de çalıntı NFT'leri satın almalarını ve dolaylı kurbanlar olmalarını engelleyecek kadar hızlı bir şekilde alıcıları bilgilendiremezler.
Çalınan NFT'leri engellemek dolaylı kurbanlar yaratır
Dolaylı kurban, saldırının hedefi olmayan ancak çalınan NFT'lerin engellenmesinden kaynaklanan mali kayıplardan dolaylı olarak zarar gören kişidir. En son NFT hacklerinden görüldüğü gibi, NFT'ler her zaman blok OpenSea tarafından uygulanmadan önce satılır. NFT'leri çok geç engellemenin sonucu, daha fazla insan için dolaylı kurbanlar ve daha fazla kayıp yaratmasıdır.
Bir kişinin nasıl çalıntı bir NFT satın alabileceğini ve bir hack saldırısının dolaylı kurbanı olabileceğini daha ayrıntılı olarak açıklamak için, işte üç yaygın durum:
Olgu 1: Alice bir NFT satın aldı, ancak daha sonra bunun çalıntı bir varlık olduğunu öğrendi. NFT bloke edilir ve Alice onu OpenSea'de satamaz veya aktaramaz. Daha sonra bir destek bileti oluşturmaya devam eder. Birkaç hafta sonra, OpenSea Trust & Safety ekibi %2.5 platform ücretlerini iade etmeyi teklif ediyor; ve muhtemelen hırsızlığı bildiren kurbanın şanslıysa e-posta adresi. Ardından, muhtemelen hiçbir yere varmayacak olan, engeli kaldırma olasılığını müzakere etmek için kurbanla uzun bir tartışma yapacaktır.
Alice hala NFT'yi diğer pazarlarda satabilir, ancak bu özel koleksiyon için satış hacmi çok düşük ve OpenSea dışındaki platformlarda adil bir fiyat sunabilecek bir alıcı yok.
Olgu 2: Alice, bir koleksiyondan NFT'lere teklif verirken birden fazla teklifte bulundu. Tekliflerden biri hacker tarafından kabul edildi, daha sonra kurbanın cüzdanındaki tekliften ödemeyi aldı ve cüzdanı boşaltmaya başladı. NFT daha sonra çalınan varlıkların bir parçası olarak kurban tarafından yetkisiz işlemlerden bloke edildi.
Bu gibi durumlar, listeleme iptal edilmedikçe listelenen NFT'ler aktarılamadığı için sıklıkla meydana gelir. Zaman baskısı altında olan hacker, bir teklif teklifini kabul etme ve satıştan elde edilen geliri alma ve parayı transfer etme olasılığı daha yüksek olacaktır. Aşağıdaki örnek, dolaylı kurbanın tüm NFT koleksiyonunun OpenSea tarafından açıklama yapılmadan nasıl engellendiğini göstermektedir.
İşte nasıl hakkında benim iş parçacığı @açık deniz 40 weth teklifimden sonra makul olmayan bir şekilde hesabımı bloke etti ve tüm NFT'lerimi dondurdu @BoredApeYC #6267 kabul edildi.
Bu davayı NFT topluluğu arasında yaymanın çok önemli olduğunu düşünüyorum!
Başlayalım ⬇️ pic.twitter.com/xnxctpzzpL— Mpa3yka (@Mpa3yka) 10 Kasım 2021
Olgu 3: Alice bir süredir bir NFT'ye sahip ve aniden engellendi ve "şüpheli etkinlik için rapor edildi" olarak işaretlendi. Satıcının hesabı tehlikeye girmedi ve işlem bir süre önce gerçekleşti. Çalınan bir NFT'yi bildirmek ve engellemek için herhangi bir kanıt gerekmediğinden, herkes herhangi bir NFT'yi engellemek için OpenSea'nin dolandırıcılık önleme ekibine bir e-posta gönderebilir.
Daha sonra bir polis raporu istenebilse de, OpenSea tarafından hack'i kanıtlamak için gereken kanıtları belirten net bir açıklama veya yanlış bildirilen bir çalıntı NFT'nin tespit edilip bloktan kaldırılabileceği bir koşul yoktur. Çalınan NFT'leri yanlış bir şekilde bildirmenin hiçbir sonucu yoktur.
NFT'ler genellikle, dolaylı mağdura sağlanan polis raporları gibi hiçbir açıklama veya kanıt olmadan engellenir. Teorik olarak, bu NFT'ler hala diğer platformlarda alınıp satılabilir, ancak toplam NFT işlem hacminin %95'i ile OpenSea'nin pazardaki tekeli düşünüldüğünde, OpenSea'de herhangi bir NFT'yi engellemek, onları piyasadan sonsuza kadar çıkarmakla neredeyse eşdeğerdir.
NFT'leri engellemek, fiyatı yapay olarak artırabilir
Çalınan NFT'lerin en büyük NFT platformu OpenSea'de işlem görmesini engelleme tehlikesi arzdaki kalıcı azalmadır. Göre arz ve talep kanunu Ekonomi teorisinde arz düştüğünde fiyat yükselir.
Örnek olarak, Azuki koleksiyonunda 10,000 NFT var ve şu anda OpenSea'de sadece 1,100 satışta. Arthur0x hack, 17'sinin çalınması ve engellenmesiyle sonuçlandı. 17 NFT, 1.5 dolaşımdaki arzın yalnızca %1,100'i civarında olmasına rağmen, fiyat, saldırıdan sonra zaten bir artış eğilimi gösterdi. Hack 22 Mart'ta gerçekleşti ve fiyatı süzülmüş 28 Mart - 20.96 E, 31 Mart'taki airdrop duyurusundan önce — bir hafta içinde %55 artış.
Arthur, dolaylı kurbanlarla onları geri almak için pazarlık yaparak bazılarını kurtarmayı başardığı için çalınan 17 NFT'nin tümü bloke edilmemiş olsa da, benzer biçimde gelecekteki hack'ler sürekli olarak gerçekleşecek ve bloke edilen NFT'lerin kümülatif sayısı yalnızca hack'ler devam ettikçe artabilir ve engellerini kaldırmak için herhangi bir prosedür bulunmamaktadır.
Azuki'yi tekrar örnek olarak kullanarak, aşağıdaki grafik bir talep eğrisi oluşturmak için tarihi satış sayısını ve ortalama fiyatı toplar ve arz eğrisinin doğrusal olduğunu varsayar. Arz ve talep eğrilerinin kesiştiği nokta denge fiyatıdır.
Arz sürekli azaldıkça, talep eğrisinin eğimi dikleştikçe fiyat artış hızı artar. Arzda 300 NFT'nin 1,000'den 700'e eşit olarak 700'den 400'e düşmesi, ikincisi için daha büyük bir fiyat artışına neden olur.
Aşağıdaki grafikte gösterildiği gibi, fiyat 15'den 21'e düşüşten 1,000 ETH'den 700 ETH'ye yükselir, ancak 21'den 28'e düşüşten 700 ETH'den 400 ETH'ye yükselir.
Çalınan NFT'lerin engellenmesinin, koleksiyonun fiyatını yapay olarak artırabileceği açıktır. Birisi aynı koleksiyondan birçok NFT'yi çalıntı olarak bildirerek OpenSea güvenlik sistemindeki boşluktan yararlanmak isterse (çünkü çalıntı NFT'leri bildirmek için hiçbir kanıt gerekmediğinden), arz düşükse koleksiyonun fiyatı önemli ölçüde artabilir. . Bu boşluk, likit olmayan NFT pazarında fiyat manipülasyonu için fırsatlar yaratabilir.
Her durumda, NFT'leri engellemek, saldırıyı durdurmak veya bilgisayar korsanını cezalandırmak için etkili bir önlem değildir, aksine, piyasa manipülatörleri için daha dolaylı kurbanlar ve yasal boşluklar yaratır. Bu kesinlikle gidilecek yol değil, bu yüzden etkili bir güvenlik önlemi var mı?
Önleyici tedbirler ve kanıta dayalı bir sistem mevcut olmalıdır
Mevcut OpenSea güvenlik sistemi, kullanıcıları önceden korumak için hiçbir önleyici tedbire sahip değildir. Tüm güvenlik önlemleri ancak saldırıdan sonra uygulanır, bu da etkisiz olmalarının ana nedenlerinden biridir.
Bilgisayar korsanlarının davranışlarına dayanarak, zaman önemli bir bileşendir. Bilgisayar korsanını yavaşlatabilecek veya kurbanları erken bilgilendirebilecek güvenlik önlemleri, savaşı kazanmanın anahtarıdır. İşte OpenSea tarafından uygulanabilecek bazı daha etkili önleyici tedbirler:
- Anormal hesap etkinliğini algılayabilen ve yanıt vermek için yeterli zamanları olması için kullanıcıları bu tür etkinlikler hakkında bilgilendirmek için anlık metin mesajları veya e-posta uyarıları gönderebilen bir erken uyarı sistemi oluşturun. Örneğin, hesap bir dakika içinde birden fazla NFT satın almamış veya transfer etmemişse; veya hesabın belirli bir zaman diliminde (yani kullanıcının uykuda olduğu zaman dilimleri) geçmişte herhangi bir etkinliği olmadıysa, bu tür etkinliklerin oluşup oluşmadığı makine öğrenme algoritmaları tarafından tespit edilecektir. Hesap sahibi hemen bilgilendirilmeyi seçebilir veya güvenlik için hesabın otomatik olarak kilitlenmesine izin verebilir.
- Kullanıcılara, bir zaman çerçevesi içinde izin verilen maksimum NFT transfer veya satış sayısını, yani bir dakika içinde maksimum bir transfer veya satış sınırlama seçeneği sunun; veya her devir veya satış arasında asgari bir zaman aralığı, yani bir sonraki devir veya satış, bir öncekinden ancak 15 dakika sonra gerçekleşebilir. Bu önlemler, bilgisayar korsanlarının tek seferde çok sayıda NFT çalmasını önleyebilir.
- Kurbanların güvenliği ihlal edilmiş hesapları ve bilgisayar korsanlarının hesaplarını herkesin incelemesi için anında eklemesine olanak tanıyan şüpheli hesap panoları oluşturun. Bu, tüm alıcılara şüpheli hesaplar hakkında gerçek zamanlı bilgi ve satın almadan önce satıcının listede olup olmadığını çapraz kontrol etme olanağı sağlayacaktır. Rapor edilen hesapların gerçekten ele geçirildiğini kanıtlamak için daha sonra mağdurdan polis raporu gibi kanıtlar istenebilir.
Bu önlemlerden bazıları yanlış alarmlara ve rahatsızlıklara neden olabilir. Ancak, önleyici tedbirler söz konusu olduğunda, bilgisayar korsanına karşı bir zaman yarışı olduğu göz önüne alındığında, kullanıcılar bir sonraki kurban olmaktan kaçınmak için üzgün olmaktansa güvende olmayı tercih ederler.
Kripto korsanlığı hakkında yaygın yanılgılar
Kripto korsanlığıyla ilgili yaygın bir yanılgı, “bu benim başıma gelmeyecek çünkü güvenlik farkındalığım yüksek ve sabit bir cüzdan kullanıyorum” şeklindedir. İyi bir güvenlik uygulamasıyla doğrudan kötü niyetli bir saldırıdan kaçınılabileceği doğru olabilir, ancak herhangi biri başka birini hedef alan bir saldırının dolaylı kurbanı olabilir. Hack sayısı arttığında, dolaylı kurban olma şansı da çok daha yüksektir.
Başka bir yanlış anlama ise, "Sıcak cüzdanımda çok fazla para tutmadığım sürece cüzdanın tehlikeye girip girmemesi önemli değil." Çoğu kullanıcının fark edemediği şey, parasal kaybın hack'in yalnızca bir yansıması olduğudur. Bir Web3 cüzdanını kaybetmek, tüm kredi geçmişinizi kaybetmek gibidir. Airdrop'lar veya kredilere erişim ve kaldıraç gibi geçmiş etkinliklere dayanan gelecekteki faydalar da tehlikeye atılan cüzdanla birlikte buharlaşabilir.
Blok zinciri, şimdiye kadar yaratılmış en güvenli finansal teknolojilerden biri olmasına rağmen, kripto tabanlı platformlara yönelik kötü niyetli saldırılar, Web3 girişimi için en büyük tehdittir.
Blockchain'in geri döndürülemez doğası ve OpenSea'nin önleyici güvenlik önlemlerinin eksikliği göz önüne alındığında, OpenSea'nın ortaya çıkardığı en iyi çözümü görmek zor değil. Ethereum alan açık artırma hilesi çalınan NFT'lerin iadesi karşılığında hacker'a satıştan %25 kar teklif etmektir. Sadece NFT pazarının dünyasında bir suçlu, böylesine ciddi bir suçtan dolayı cezalandırılmak yerine ödüllendirilebilir.
NFT pazarının tekeli olarak OpenSea bundan kesinlikle daha iyisini yapabilir ve güvenlik önlemlerini daha ciddiye alabilir ve kullanıcılarına daha fazla koruma sağlayabilir.
Burada ifade edilen görüşler ve görüşler sadece yazara aittir ve mutlaka Cointelegraph.com'un görüşlerini yansıtmamaktadır. Her yatırım ve ticaret hamlesi risk içerir, bir karar verirken kendi araştırmanızı yürütmelisiniz.
Kaynak: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections