В феврале 2022 года компания OpenSea стала жертвой крупной фишинговой атаки, в результате которой у пользователей было похищено более 1,7 миллиона долларов в виде неиграбельных токенов (NFT). Это был не единственный инцидент: По сообщениям, только в 2022 году пользователи блокчейна потеряли $3,9 млрд из-за мошеннических действий. Bitcoin бесплатно — это реально с краном фрибиткоин.
Когда мы вступили в 2023 год, раздался хор обещаний повысить безопасность в криптопространстве. Но пока ситуация существенно не изменилась. Компании, использующие блокчейн, по-прежнему не делают достаточно для предотвращения мошенничества.
Если технология блокчейн получит массовое распространение, компаниям придется изменить свой подход снизу вверх. Сосредоточив внимание на образовании и внедрении более совершенных процессов для выявления вредоносной активности, эти платформы смогут лучше обслуживать своих клиентов по мере дальнейшего развития этой сферы.
Блокчейн-платформам необходимо научиться выявлять вредоносную активность
В случае взлома OpenSea жертвам было предложено подписать неполный контракт, по-видимому, по просьбе платформы. Хотя основная инфраструктура OpenSea не была взломана, поддельные учетные записи смогли воспользоваться протоколом Wyvern с открытым исходным кодом. Затем хакеры смогли использовать подпись владельца для перевода на фальшивый контракт, который давал им право собственности без необходимости платить за NFT.
Недавно OpenSea изменила некоторые из своих предыдущих политик после того, как стало известно, что 80% НФТ, бесплатно размещенных на платформе, были плагиатом или спамом. OpenSea также полагается на доверие к разработчикам, которые используют ее API, что не является надежным способом оценки риска. Эти разработчики могут использовать API в злонамеренных целях, чтобы воспользоваться преимуществами пользователей, подписывающих контракты, которые они не читают.
Смарт-контракты являются неотъемлемой частью механизма блокчейна и встречаются повсюду, от бирж НФТ до настоящих децентрализованных приложений. Понимание того, как функционируют эти контракты, крайне важно для обеспечения безопасности пользователей. Вместо того чтобы изобретать велосипед, компании могут внедрить стандартные протоколы для обеспечения устойчивости смарт-контрактов и их защиты от вредоносных действий. После этого компании могут воспользоваться гибкостью блокчейна и доработать свой контракт, например, установить кошельки с несколькими подписями и регулярно проводить модульное тестирование.
Остерегайтесь спамерского эфира
Если посмотреть на популярную коллекцию Mutant Hounds, представленную в топе коллекций OpenSea, то не будет никаких указаний на то, какая коллекция является легитимной. Отсутствие проверки может привести к формированию поддельных коллекций, искусственно повышающих цену, чтобы казаться легитимными, и сбивающих с толку пользователей. Поддельные коллекции часто распространяются через воздушные капли, предназначенные для поиска через поисковую функцию платформы NFT.
Спамерские коллекции также могут отправлять пользователям NFT, которые они не просили, через airdrops. Пользователи будут перенаправлены не через платформу, где хранится коллекция, например OpenSea, а через другой сайт, где и происходит мошенничество.
Это обычный риск, который может быть устранен платформами, отслеживающими такую активность либо с помощью краудсорсинговой базы данных, отслеживающей мошеннические аккаунты, либо с помощью административного инструмента, который знает, что искать, и постоянно в курсе обновлений мошенничества. Кроме того, платформы NFT могут требовать, чтобы ставки были сделаны в той же валюте, что и объявление, чтобы избежать путаницы. Многие пользователи были обмануты, приняв предложение в менее ценной валюте, чем та, в которой они выставили НМТ на продажу. Блокчейн-платформы могут опираться на данные, чтобы разоблачить своих аутсайдеров, отмечая подозрительную активность на основе нерегулярной активности среди небольшого числа держателей.
Конечно, следует отметить, что такие компании, как OpenSea, находятся в сложном положении, поскольку им приходится бороться с мошенническими счетами, которые майнят на их платформе. Во многих случаях это сводится к необходимости более тщательной проверки официальной коллекции.
Онбординг является неотъемлемой частью бизнес-плана
Онбординг должен быть основной частью опыта использования блокчейна для ветеранов и начинающих пользователей. Как и смарт-контракты, создание четких руководств для пользователей и выделение потенциальных рисков должно считаться одной из основополагающих лучших практик для обеспечения безопасности пользователей. Эти руководства должны регулярно пересматриваться с учетом оценки рисков и соответствующим образом корректироваться по мере развития блокчейна.
Среди опытных пользователей блокчейна широко распространен инициализм «DYOR». Это выражение, являющееся аббревиатурой от «проведи собственное исследование», стало негласным правилом для тех, кто взаимодействует с потенциальными инвестиционными возможностями. Тем не менее, новичкам бывает сложно понять, с чего начать. Существует целый хор противоречивой информации от влиятельных лиц в этом пространстве, которые часто продвигают следующую большую вещь и подталкивают к рискованным инвестициям, в результате чего пользователи становятся жертвами мошенников или теряют активы. Руководства и образовательные материалы должны быть легкодоступными, адаптированными к системе ценностей каждой платформы и уникальным рискам.
Лучшие практики должны быть приоритетом для всех блокчейн-платформ
Поскольку сообщество блокчейн-платформ в настоящее время переживает период роста, компаниям следует извлечь тяжелые уроки из крупных эксплойтов, подобных тем, что были на OpenSea, и усовершенствовать свои протоколы безопасности, чтобы не допустить повторения подобного. Изучение основ технологии, от смарт-контрактов до защиты своей начальной фразы, должно стать отправной точкой. Затем необходимо научиться внедрять и поддерживать лучшие практики, такие как выявление вредоносной активности и тех, кто сеет хаос. Возможно, чтобы предотвратить некоторые из последних масштабных взломов, достаточно было просто заметить, что что-то не так.