ازدهر سوق الرموز غير القابلة للاستبدال (NFT) منذ صيف عام 2021، ومع ارتفاع أسعار الرموز غير القابلة للاستبدال (NFT)، ارتفع أيضًا عدد الاختراقات التي تستهدف الرموز غير القابلة للاستبدال (NFTs).
أحدث عملية اختراق رفيعة المستوى استحوذت على ما يقرب من 600 إيثر (ETH) بقيمة NFTs من Arthur0x، مؤسس DeFiance Capital، والتي تم بيعها بعد ذلك على OpenSea.
أبرز تقرير جرائم العملات المشفرة لعام 2022 الذي نشرته تشيناليسيس أن القيمة المرسلة إلى أسواق التوكنات غير القابلة للاستبدال (NFT) عن طريق العناوين غير المشروعة قفزت بشكل كبير في عام 2021، حيث بلغت ما يقل قليلاً عن 1.4 مليون دولار. كانت هناك أيضًا زيادة واضحة في الأموال المسروقة المرسلة إلى أسواق NFT.
ونظرًا للزيادة السريعة المثيرة للقلق في القيمة غير المشروعة المتدفقة إلى منصات NFT، فمن الطبيعي أن نتساءل عما إذا كانت التدابير والإجراءات الأمنية مطبقة، وإذا كان الأمر كذلك، ما إذا كانت هذه التدابير فعالة في حماية المالكين.
دعونا نلقي نظرة على OpenSea، أكبر منصة NFT، وإجراءاتها الأمنية.
لا يمكن للتدابير الأمنية في OpenSea حماية المستخدمين
لدى OpenSea إجراءان أمنيان رئيسيان يتم تفعيلهما بمجرد "اختراق" الحساب - قفل الحساب المخترق وحظر NFTs المسروقة. وهذان الإجراءان غير فعالين للغاية عند النظر إليهما عن كثب.
يمكن قفل الحساب على موقع OpenSea الإلكتروني دون موافقة الإنسان أظهرت هنا، في حين أن حظر NFTs يتضمن عملية طويلة لرفع التذكرة وانتظار استجابة فريق مساعدة OpenSea.
في الحالة التي يكون فيها أحد المتسللين قد قام بالفعل باختراق المحفظة وهو بصدد نقل NFTs، لن يكون قفل الحساب فعالاً إلا إذا تم ذلك قبل أن ينقل المتسلل كل شيء.
وبالمثل، فإن حظر NFTs لا يكون فعالًا إلا قبل أن يتم بيع NFTs إلى مشتري آخر بواسطة المتسلل. والأسوأ من ذلك هو أن هذا الإجراء الأمني يخلق سلسلة من الضحايا غير المباشرين الذين ينتهي بهم الأمر إلى حظر NFTs التي لا يمكن بيعها أو نقلها. وذلك لأن وقت الاستجابة للتذاكر المرفوعة في OpenSea هو يوم واحد على الأقل. بحلول الوقت الذي يتم فيه حظر NFTs بواسطة OpenSea، سيكون قد تم بيعها بالفعل إلى مشتر آخر يصبح الآن الضحية الجديدة للجريمة.
في حالة 17 قطعة أزوكي مسروقة من Arthur0x، تمت سرقة 15 قطعة في نفس الدقيقة وسرقت اثنتين بعد ثلاث دقائق. متوسط الوقت الذي بقيت فيه NFTs المسروقة في محفظة المتسلل قبل بيعها هو 43 دقيقة. الإجراءات الأمنية التي تقدمها OpenSea ليست بأي حال من الأحوال سريعة الاستجابة أو سريعة بما يكفي لإبلاغ الضحية وإيقاف المتسلل؛ ولا يمكنهم أيضًا إبلاغ المشترين بالسرعة الكافية لمنعهم من شراء NFTs المسروقة والتحول إلى ضحايا غير مباشرين.
يؤدي حظر NFTs المسروقة إلى إنشاء ضحايا غير مباشرين
الضحية غير المباشرة هي شخص ليس هدفًا للاختراق ولكنه يعاني بشكل غير مباشر من الخسائر المالية الناجمة عن حظر NFTs المسروقة. كما رأينا من العديد من عمليات اختراق NFT الأخيرة، يتم دائمًا بيع NFTs قبل تنفيذ الحظر بواسطة OpenSea. إن نتيجة حظر NFTs بعد فوات الأوان هي أنه يخلق ضحايا غير مباشرين والمزيد من الخسائر لمزيد من الأشخاص.
لتوضيح المزيد من التفاصيل كيف يمكن لأي شخص أن ينتهي به الأمر إلى شراء NFT مسروق ويصبح ضحية غير مباشرة للاختراق، إليك ثلاث حالات شائعة:
حالة 1: اشترت أليس NFT لكنها اكتشفت لاحقًا أنها أصل مسروق. تم حظر NFT ولا تستطيع أليس بيعه أو نقله على OpenSea. ثم تشرع في رفع تذكرة الدعم. وبعد عدة أسابيع، يعرض فريق OpenSea Trust & Safety استرداد رسوم المنصة البالغة 2.5%؛ وربما عنوان البريد الإلكتروني للضحية الذي أبلغ عن السرقة إذا كان محظوظًا. بعد ذلك، من المحتمل أن تجري مناقشة مطولة مع الضحية للتفاوض حول إمكانية رفع الحظر، والذي على الأرجح لن ينتهي به الأمر إلى أي مكان.
لا يزال بإمكان Alice بيع NFT في أسواق أخرى ولكن حجم المبيعات منخفض جدًا لهذه المجموعة بالذات ولا يوجد مشتري يمكنه تقديم سعر عادل على منصات أخرى غير OpenSea.
حالة 2: قدمت أليس عروضًا متعددة أثناء المزايدة على NFTs من مجموعة. تم قبول أحد العروض من قبل المتسلل، الذي تلقى بعد ذلك المبلغ من العرض في محفظة الضحية وشرع في مسح المحفظة. تم حظر NFT لاحقًا كجزء من الأصول المسروقة من المعاملات غير المصرح بها من قبل الضحية.
تحدث مثل هذه الحالات غالبًا لأنه لا يمكن نقل NFTs المدرجة ما لم يتم إلغاء القائمة. سيكون المتسلل، الذي يتعرض لضغط الوقت، أكثر عرضة لقبول عرض العطاء والحصول على عائدات البيع وتحويل الأموال. توضح الحالة أدناه كيف تم حظر مجموعة NFT الكاملة للضحية غير المباشرة بواسطة OpenSea دون تفسير.
وهنا موضوعي حول كيفية opensea تم حظر حسابي بشكل غير معقول وتجميد جميع NFTs الخاصة بي بعد عرضي بقيمة 40 دولارًا تضمين التغريدة # 6267 تم قبوله.
أعتقد أنه من المهم جدًا نشر هذه الحالة بين مجتمع NFT!
لنبدأ ⬇️ pic.twitter.com/xnxctpzzpL- Mpa3yka (@ Mpa3yka) 10 نوفمبر، 2021
حالة 3: لقد امتلكت أليس NFT لبعض الوقت وفجأة تم حظرها ووضع علامة "تم الإبلاغ عنها بسبب نشاط مشبوه". لم يتم اختراق حساب البائع وتمت المعاملة منذ فترة. نظرًا لعدم وجود دليل مطلوب للإبلاغ عن NFT مسروق وحظره، يمكن لأي شخص إرسال بريد إلكتروني إلى فريق مكافحة الاحتيال في OpenSea لحظر أي NFT.
على الرغم من أنه يمكن طلب تقرير الشرطة لاحقًا، إلا أنه لا يوجد بيان واضح من OpenSea لتحديد الأدلة اللازمة لإثبات الاختراق ولا شرط يمكن بموجبه التعرف على NFT المسروق الذي تم الإبلاغ عنه بشكل خاطئ ورفعه من الكتلة. لا توجد أي عواقب للإبلاغ الكاذب عن NFTs المسروقة.
غالبًا ما يتم حظر NFTs بدون أي تفسير أو دليل مثل تقارير الشرطة المقدمة للضحية غير المباشرة. من الناحية النظرية، لا يزال من الممكن تداول NFTs هذه على منصات أخرى، ولكن نظرًا لاحتكار OpenSea للسوق، مع 95% من إجمالي أحجام تداول NFT، فإن حظر أي NFT على OpenSea يعادل تقريبًا إخراجها من السوق إلى الأبد.
قد يؤدي حظر NFTs إلى زيادة السعر بشكل مصطنع
إن خطر منع تداول NFTs المسروقة على أكبر منصة NFT OpenSea هو الانخفاض الدائم في العرض. على أساس قانون العرض والطلب في النظرية الاقتصادية، عندما ينخفض العرض، يرتفع السعر.
على سبيل المثال، تحتوي مجموعة Azuki على 10,000 NFTs وحاليًا هناك 1,100 فقط معروضة للبيع على OpenSea. أدى اختراق Arthur0x إلى سرقة 17 وحظرها. على الرغم من أن 17 NFT تمثل حوالي 1.5% فقط من العرض المتداول البالغ 1,100، فقد أظهر السعر بالفعل اتجاهًا للزيادة بعد الاختراق. حدث الاختراق في 22 مارس والسعر بلغ ذروته في 28 مارس إلى 20.96 شرقًا قبل إعلان الإنزال الجوي في 31 مارس - بزيادة قدرها 55% خلال أسبوع.
على الرغم من أنه لم يتم حظر جميع الرموز غير القابلة للاستبدال (NFTs) الـ 17 المسروقة حيث تمكن آرثر من استعادة بعضها من خلال التفاوض مع الضحايا غير المباشرين لإعادة شرائها، فإن الاختراقات المستقبلية بشكل مماثل ستحدث بشكل مستمر ولا يمكن أن يزيد العدد التراكمي للرموز غير القابلة للاستبدال (NFTs) المحظورة إلا مع استمرار الاختراقات و لا توجد إجراءات معمول بها لإلغاء حظرهم.
باستخدام Azuki كمثال مرة أخرى، يجمع الرسم البياني أدناه العدد التاريخي للمبيعات ومتوسط السعر لإنشاء منحنى الطلب ويفترض أن منحنى العرض خطي. النقطة التي يتقاطع فيها منحنيات العرض والطلب هي سعر التوازن.
ومع انخفاض العرض بشكل مستمر، تصبح سرعة الزيادة في السعر أسرع مع زيادة انحدار منحنى الطلب. يؤدي الانخفاض المتساوي بمقدار 300 NFTs في العرض من 1,000 إلى 700 مقابل 700 إلى 400 إلى زيادة أكبر في سعر الأخير.
كما هو موضح في الرسم البياني أدناه، يرتفع السعر من 15 إيثريوم إلى 21 إيثريوم من التخفيض 1,000 إلى 700، لكنه يزيد أكثر من 21 إيثريوم إلى 28 إيثريوم من التخفيض 700 إلى 400.
من الواضح أن حظر NFTs المسروقة قد يؤدي إلى زيادة سعر المجموعة بشكل مصطنع. إذا أراد شخص ما الاستفادة من الثغرة الموجودة في نظام أمان OpenSea من خلال الإبلاغ الكاذب عن العديد من NFTs من نفس المجموعة على أنها مسروقة (نظرًا لعدم الحاجة إلى دليل للإبلاغ عن NFTs المسروقة)، فقد يرتفع سعر المجموعة بشكل كبير إذا كان العرض منخفضًا . يمكن أن تخلق هذه الثغرة فرصًا للتلاعب بالأسعار في سوق NFT غير السائلة.
على أية حال، فإن حظر NFTs ليس إجراءً فعالاً لوقف الاختراق أو معاقبة المتسلل، بل على العكس من ذلك، يخلق المزيد من الضحايا والثغرات غير المباشرة للمتلاعبين بالسوق. بالتأكيد ليس هذا هو الطريق الصحيح، فهل هناك أي إجراء أمني فعال؟
ويجب اتخاذ تدابير وقائية ونظام قائم على الأدلة
لا يحتوي نظام الأمان OpenSea الحالي على إجراءات وقائية لحماية المستخدمين مسبقًا. يتم تنفيذ جميع إجراءات السلامة فقط بعد الاختراق، وهو أحد الأسباب الرئيسية لعدم فعاليتها.
بناءً على سلوكيات المتسللين، يعد الوقت عنصرًا أساسيًا. إن الإجراءات الأمنية التي يمكنها إبطاء المتسلل أو إبلاغ الضحايا مبكرًا هي مفاتيح الفوز في المعركة. فيما يلي بعض التدابير الوقائية الأكثر فعالية التي يمكن تنفيذها بواسطة OpenSea:
- قم بإنشاء نظام إنذار مبكر يمكنه اكتشاف نشاط الحساب غير الطبيعي وإرسال رسائل نصية فورية أو تنبيهات عبر البريد الإلكتروني لإبلاغ المستخدمين بهذا النشاط حتى يكون لديهم الوقت الكافي للرد. على سبيل المثال، إذا لم يقم الحساب مطلقًا بشراء أو نقل أكثر من NFT واحد خلال دقيقة واحدة؛ أو إذا لم يكن لدى الحساب أي أنشطة في الماضي خلال فترة زمنية محددة (أي المناطق الزمنية عندما يكون المستخدم نائمًا)، فسيتم اكتشاف حدوث مثل هذه الأنشطة بواسطة خوارزميات التعلم الآلي. يمكن لصاحب الحساب اختيار أن يتم إعلامه على الفور، أو السماح بقفل الحساب تلقائيًا من أجل الأمان.
- تزويد المستخدمين بخيار تقييد الحد الأقصى لعدد عمليات نقل أو مبيعات NFT المسموح بها خلال إطار زمني، أي بحد أقصى عملية نقل أو بيع واحدة خلال دقيقة واحدة؛ أو الحد الأدنى للفاصل الزمني المفروض بين كل عملية نقل أو بيع، أي أن عملية النقل أو البيع التالية يمكن أن تتم بعد 15 دقيقة فقط من عملية النقل أو البيع السابقة. يمكن لهذه الإجراءات منع المتسللين من سرقة عدد كبير من NFTs دفعة واحدة.
- قم بإنشاء لوحات معلومات حسابات مشبوهة تسمح للضحايا بإضافة الحسابات المخترقة وحسابات المتسللين على الفور للتدقيق العام. سيوفر هذا لجميع المشترين معلومات في الوقت الفعلي حول الحسابات المشبوهة والقدرة على التحقق مما إذا كان البائع مدرجًا في القائمة قبل الشراء. يمكن طلب أدلة مثل تقرير الشرطة لاحقًا من الضحية لإثبات أن الحسابات المبلغ عنها قد تم اختراقها بالفعل.
بعض هذه التدابير قد تخلق إنذارات كاذبة وإزعاجًا. ولكن نظرًا لأن هناك سباقًا ضد المتسللين عندما يتعلق الأمر بالتدابير الوقائية، فإن المستخدمين يفضلون أن يكونوا آمنين بدلاً من الأسف لتجنب أن يصبحوا الضحية التالية.
المفاهيم الخاطئة الشائعة حول اختراق العملات المشفرة
أحد المفاهيم الخاطئة الشائعة حول اختراق العملات المشفرة هو أن "هذا لن يحدث لي لأن وعيي الأمني مرتفع وأستخدم محفظة صلبة." قد يكون صحيحًا أنه يمكن تجنب الاختراق الضار المباشر من خلال الممارسات الأمنية الجيدة، ولكن يمكن لأي شخص أن يصبح ضحية غير مباشرة للاختراق الذي يستهدف شخصًا آخر. عندما يزيد عدد عمليات الاختراق، فإن فرصة أن تصبح ضحية غير مباشرة تكون أعلى بكثير أيضًا.
هناك مفهوم خاطئ آخر وهو أنه "طالما أنني لا أحتفظ بالكثير من المال في محفظتي الساخنة، فلا يهم إذا تعرضت المحفظة للخطر". ما يفشل معظم المستخدمين في إدراكه هو أن الخسارة المالية ليست سوى نتيجة واحدة للاختراق. إن فقدان محفظة Web3 يشبه فقدان سجلك الائتماني بالكامل. أي فوائد مستقبلية تعتمد على الأنشطة السابقة مثل الإنزال الجوي أو الوصول إلى القروض والرافعة المالية يمكن أن تتبخر أيضًا مع المحفظة المخترقة.
على الرغم من أن تقنية blockchain هي واحدة من أكثر التقنيات المالية أمانًا على الإطلاق، إلا أن الاختراقات الخبيثة تجاه المنصات القائمة على العملات المشفرة تمثل أكبر تهديد لمشروع Web3.
نظرًا لطبيعة blockchain التي لا رجعة فيها وافتقار OpenSea إلى تدابير أمنية وقائية، ليس من الصعب رؤية الحل الأفضل الذي توصلت إليه OpenSea بعد اختراق مزاد مجال الايثيريوم هو عرض ربح بنسبة 25% على المتسلل من البيع مقابل إعادة NFTs المسروقة. فقط في عالم سوق NFT يمكن مكافأة المجرم بدلاً من معاقبته على مثل هذه الجريمة الخطيرة.
وباعتبارها احتكارًا لسوق NFT، يمكن لـ OpenSea بالتأكيد أن تفعل ما هو أفضل من ذلك وتتخذ التدابير الأمنية بجدية أكبر وتوفر المزيد من الحماية لمستخدميها.
الآراء والآراء الواردة هنا هي فقط آراء المؤلف ولا تعكس بالضرورة آراء Cointelegraph.com. كل تحركات الاستثمار والتجارة تنطوي على مخاطر ، يجب عليك إجراء البحوث الخاصة بك عند اتخاذ قرار.
المصدر: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections