В прошлом было много нашумевших случаев взлома и эксплуатации чужих NFT, и пользователям важно знать о рисках и предпринимать шаги для защиты своих активов. Сегодня мы вспомним структуру невзаимозаменяемых токенов, а также какие есть уязвимости в их экосистеме, чтобы предотвратить потерю своих NFT.
NFT (ERC721) — это цифровой актив, представляющий объекты реального мира, искусства, музыки, внутриигровых предметов и видео. Мы храним NFT в общедоступных Ethereum или любых других блокчейнах. NFT нельзя продать или обменять эквивалентно другим токенам ERC20, эти токены уникальны.
Функционирование экосистемы NFT
Право собственности на NFT записывается в блокчейне и может быть передано владельцем, что позволяет продавать и обменивать NFT. Вся экосистема сначала инициируется создателями.
Они создают цифровые активы, такие как искусство, изображения, видео и т. д. Творческие личности создают цифровой контент и загружают его на хостинг, чтобы искусство было общедоступным. Когда они чеканят или создают NFT, то выполняют код, хранящийся в смарт-контрактах, которые соответствуют различным стандартам, таким как ERC-721. Эта информация добавляется в блокчейн, где осуществляется управление NFT.
Затем продавцы и покупатели будут проводить аукционы и торговать своими NFT на платформе NFT. После того как покупатель совершает транзакцию и виртуально подписывает право собственности, платформа записывает транзакцию в блокчейн, включая передачу суммы и все данные владельца на произведение искусства.
Проблемы безопасности NFT
1. Уязвимости смарт-контрактов. По своей сути NFT являются смарт-контрактами, поэтому они уязвимы для злоумышленников, как и любые другие программы. К уязвимостям относятся атаки с повторным входом, кодировка и недостатки контроля доступа. Наиболее распространенная ошибка, которую могут иметь смарт-контракты NFT, — это ошибки контроля доступа, повторный вход.
2. Уязвимости рынка. Слабое место в NFT-маркетплейсах может представлять опасность для самих NFT. Это может даже привести к краже NFT. Недавно OpenSea стал жертвой атаки, в ходе которой злоумышленник смог приобрести NFT по их старой стоимости. В результате этого сбоя несколько пользователей получили драгоценные NFT по ценам, которые были намного ниже рыночной стоимости токенов.
3. Проблема с хранилищем. Если метаданные NFT хранятся в автономном режиме, при возникновении проблем вне сети сама ссылка будет бесполезной и NFT будет недоступен. Централизованные автономные сетевые приложения и системы хранения по-прежнему подвержены риску традиционных DoS-атак.
4. Взломы социальных сетей. В последнее время злоумышленники атакуют учетные записи социальных сетей (Discord/Twitter). Мошенники обычно используют такие методы, как фишинг, социальная инженерия и боты, чтобы скомпрометировать эти учетные записи. После компрометации серверов они могут обманом заставить пользователей подключать кошельки к их вредоносным веб-сайтам для кражи NFT.
5. Мошенничество и фишинг NFT. Как правило, фишинг — это то, как хакеры получают доступ к информации вашей учетной записи NFT. Они часто используют электронную почту или известные сайты социальных сетей и форумы, такие как Twitter и Discord, для распространения мошеннических URL-адресов с этой целью. Как только вы нажмете на ссылку и отправите свою информацию, хакеры смогут получить доступ к вашей учетной записи и взломать ее с помощью кейлогинга или шпионского ПО.
6. Манипулирование рынком в трейдинге. Существует множество способов манипулировать рынком NFT. Некоторыми из распространенных форм рыночных манипуляций являются мошенническая торговля, схемы накачки и сброса, одобрение знаменитостей и т. д. Злоумышленники часто завышают цену NFT, используя вышеуказанные методы, и сбрасывают их с целью получения прибыли.
7. Утечка закрытого ключа/исходной фразы. Владение NFT управляется с помощью закрытого ключа, который служит часовым для всех активов в конкретном цифровом кошельке. Если ваш закрытый ключ просочился, любой, у кого есть к нему доступ, сможет украсть ваши NFT из цифрового кошелька и продать их. Поэтому очень важно хранить закрытый ключ в безопасном месте!
Знаменитые истории взлома NFT
Lympo — 10 января 2022 года спортивная платформа для майнинга NFT Lympo подверглась взлому, в результате которого потеряла 165,2 миллиона токенов LMT, то есть $18,7 миллиона на момент взлома. Основной причиной атаки стала утечка приватного ключа горячего кошелька, что позволило злоумышленникам получить контроль над NFT и украсть его.
Farmers World — украдено $15,7 млн. В ноябре 2021 года сетевая игра с криптовалютой WAX, Farmers World, была взломана, в результате чего убытки составили более 100 миллионов йен ($15,7 миллиона). Однако некоторые эксперты предполагают, что эта цифра может достигать 300 миллионов йен.
Яхт-клуб Bored Ape — в апреле 2022 года мошенники украли токены у разработчиков коллекции Bored Ape Yacht Club. Кража была совершена путем компрометации аккаунта разработчика в Instagram. В результате взлома было украдено $13,7 млн.
DragonSB Finance — украдено $10 миллионов. В апреле 2022 года смарт-контракт компании, работавшей над этим игровым проектом, был взломан хакерами.
TopGoal — украдено $2,2 миллиона. В феврале 2022 года TopGoal подвергся атаке и более 4,8 млн TMT были переведены с горячего кошелька платформы на адрес хакера.
The Shifters — украдено $2 миллиона. При запуске коллекции The Shifters воры украли деньги у пользователей через поддельные сайты и сообщения в Discord в 2022 году.
Торговая площадка Open Sea NFT. В феврале 2022 года пользователи торговой площадки NFT OpenSea стали жертвами фишинговой атаки. Злоумышленнику удалось украсть 1200 ETH у эксплуатируемых пользователей, которые позже были проданы за $1,7 миллиона.
Как пользователь может обеспечить безопасность своего NFT?
Важна комплексная проверка! Пользователи должны провести собственную объемную аналитику, прежде чем инвестировать в какие-либо проекты NFT. Обычно проверка включает анализ основных деталей:
Профили и опыт основателей проекта.
Аккаунты проекта в социальных сетях, таких как Twitter, Discord и т. д.
Цена, предложение и редкость NFT.
Полезность NFT.
Проверьте, прошел ли проект аудит или нет.
Торгуйте NFT на авторитетном и безопасном рынке: безопасность является важным фактором для многих трейдеров NFT, особенно с учетом того, что уже было несколько громких взломов платформ.
Никогда не подписывайте транзакции NFT вслепую: перед подтверждением транзакции всегда проверяйте детали разрешения в смарт-контрактах. Многие хакеры маскируют свои действия смарт-контрактами, предоставляя им несанкционированный доступ к средствам на вашем кошельке.
Взаимодействуйте только с официальными каналами, учетными записями в Твиттере и ссылками: всегда ограничивайте свой Телеграм и электронную почту от получения сообщений от незнакомцев и неофициальных адресов. Сначала используйте веб-сайт для проверки ссылок, который позволит вам узнать, является ли сайт законным.
Никогда никому не сообщайте свою исходную фразу или закрытый ключ кошелька: если вы раскроете исходную фразу или закрытый ключ кому-либо, он получит доступ к вашим цифровым активам. Любой, у кого есть доступ к вашему закрытому ключу/начальной фразе, может украсть все ваши токены и NFT.
Включите методы аутентификации/2FA для предотвращения взлома учетных записей социальных сетей. Существует множество сценариев, когда учетные записи социальных сетей этих проектов NFT, таких как Discord и Twitter, взламываются и хакеры используют скомпрометированные учетные записи для своей выгоды.
Вывод
В сегодняшнем выпуске мы вспомнили, что такое NFT, подробнее рассмотрели его функционал, а также детально изучили пробелы в безопасности невзаимозаменяемых токенов. Существуют нюансы в уязвимости самих смарт-контрактов, рынков, проблемы с хранилищем и многое другое. Важно то, что на основе этих знаний мы можем уберечь свои активы от взломов путем комплексной проверки всех данных при приобретении NFT, а также при его хранении и эксплуатации. Стоит быть внимательнее и надежно хранить свой закрытый ключ.
Дисклеймер
Мнения экспертов могут не совпадать с позицией редакции. Traffic Cardinal не дает инвестиционных советов, материал опубликован исключительно в ознакомительных целях.
