" В феврале 2022 года OpenSea стала жертвой крупной фишинговой атаки, в результате которой у пользователей были украдены активы в виде невзаимозаменяемых токенов (NFT) на сумму более 1,7 миллиона долларов. Это был не единственный инцидент: по сообщениям, только в 2022 году из-за мошеннических действий пользователи блокчейна потеряли 3,9 миллиарда долларов.
Когда мы вступили в 2023 год, прозвучал хор обещаний повысить безопасность в криптопространстве. Но на данный момент ничего существенно не изменилось. Компании, использующие блокчейн, по-прежнему недостаточно делают для предотвращения мошенничества.
Если технология блокчейн получит массовое распространение, компаниям придется изменить свой подход снизу вверх. Сосредоточив внимание на обучении и внедряя более эффективные процессы для выявления вредоносной активности, платформы смогут лучше обслуживать своих клиентов по мере того, как пространство продолжает расти.
Блокчейн-платформы должны научиться идентифицировать вредоносную активность
В случае со взломом OpenSea жертв попросили подписать неполный контракт, по-видимому, по запросу платформы. Хотя основная инфраструктура OpenSea не была взломана, поддельные учетные записи смогли воспользоваться протоколом Wyvern с открытым исходным кодом. Затем хакеры смогли использовать подпись владельца для переноса на ложный контракт, который давал им право собственности без необходимости платить за NFT.
OpenSea отменила некоторые из своих предыдущих политик после того, как стало известно, что 80% NFT, отчеканенных бесплатно на платформе, были плагиатом или спамом. OpenSea также полагается на доверие к разработчикам, которые используют ее API, что не является надежным способом оценки риска. Эти разработчики могут использовать API в злонамеренных целях, чтобы получить выгоду от подписания пользователями контрактов, которые те не читают.
Смарт-контракты являются неотъемлемой частью движка блокчейна и их можно найти повсюду, от бирж NFT до настоящих децентрализованных приложений. Понимание того, как функционируют эти контракты, необходимо для обеспечения безопасности пользователей. Вместо того, чтобы изобретать велосипед, компании могут внедрить стандартные протоколы для обеспечения устойчивости смарт-контрактов и защиты их от злонамеренной активности. Компании могут воспользоваться гибким характером блокчейна и настроить свои контракты, такие как кошельки с мультиподписью и регулярное модульное тестирование.
Остерегайтесь спам-аирдропа
Если вы ищете популярную коллекцию Mutant Hounds, представленную в лучших коллекциях OpenSea, нет никаких указаний на то, какая коллекция является законной. Отсутствие проверки может привести к формированию поддельных коллекций, цены которых искусственно повышены, чтобы они выглядели законными и вводили пользователей в заблуждение. Поддельные коллекции часто распространяются через аирдропы, предназначенные для поиска с помощью функции платформы NFT.
Коллекции спама также могут отправлять пользователям NFT через аирдропы, которые люди не запрашивали. Пользователи будут перенаправлены не через платформу, на которой они хранят коллекцию, например OpenSea, а через другой сайт, где происходит мошенничество.
Это обычный риск, который можно устранить с помощью платформ, отслеживающих такую активность, либо с помощью краудсорсинговой базы данных, отслеживающей мошеннические учетные записи, либо с помощью административного инструмента, который знает, что искать, и постоянно в курсе обновлений мошенничества. Кроме того, чтобы избежать путаницы, платформы NFT могут требовать, чтобы заявки были в той же валюте, что и листинг. Многие пользователи были обмануты, приняв предложение в менее ценной валюте, чем та, в которой они выставили NFT на продажу. Для выявления мошенничества блокчейн-платформы могут полагаться на данные, отмечая подозрительную активность на основе нерегулярной активности среди небольшого числа держателей.
Конечно, следует отметить, что такие компании, как OpenSea, находятся в сложном положении, так как им приходится контролировать мошеннические учетные записи, созданные на их платформе. Во многих случаях это сводится к необходимости дополнительной проверки официальной коллекции.
Онбординг - неотъемлемая часть бизнес-плана
Для опытных и начинающих пользователей онбординг должен быть основной частью работы с блокчейном. Как и в случае со смарт-контрактами, установление четких инструкций для пользователей и выявление потенциальных рисков для их обеспечения безопасности следует считать одной из основных передовых практик. Эти руководства следует регулярно пересматривать с учетом оценки рисков и соответствующим образом корректировать по мере развития блокчейна.
«DYOR» является обычным явлением среди опытных пользователей блокчейна. Представляющее собой сокращение от «проведите собственное исследование», это выражение стало негласным правилом для тех, кто взаимодействует с потенциальными инвестиционными возможностями. Тем не менее, новичкам может быть сложно точно знать, с чего начать. Существует множество противоречивой информации от влиятельных лиц в пространстве, часто продвигающих осуществляющих рискованные инвестиции, в результате чего пользователи становятся жертвами мошенничества или потери активов. Руководства и образовательные материалы должны быть легко доступны и адаптированы к системе ценностей каждой платформы и ее уникальным рискам.
Лучшие практики должны быть приоритетом для всех блокчейн-платформ
Так как в настоящее время сообщество блокчейнов преодолевает трудности роста, компаниям следует извлечь уроки из крупных эксплойтов, таких как те, что были в OpenSea, и усовершенствовать свои протоколы безопасности, чтобы этого больше не повторилось. Отправной точкой должно стать изучение всех тонкостей базовых технологий, от смарт-контрактов до защиты сид-фразы. Необходимо внедрять и поддерживать передовые методы, такие как выявление вредоносных действий и тех, кто сеет хаос. Возможно, все, что потребовалось бы для предотвращения некоторых из самых последних крупномасштабных взломов, - это просто, чтобы кто-то заметил, что что-то не так.
Об авторе:
Майкл Р. Пирс - соучредитель и генеральный директор NotCommon, получивший степень бакалавра и магистра делового администрирования в Техасском университете в Остине.
Эта статья предназначена для общих информационных целей, и не должна восприниматься как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные в этой статье, принадлежат только автору.
