Traffic Cardinal Traffic Cardinal написал 21.07.2023

Как защитить NFT

Traffic Cardinal Traffic Cardinal написал 21.07.2023
9 мин
0
786
Содержание

В прошлом было много нашумевших случаев взлома и эксплуатации чужих NFT, и пользователям важно знать о рисках и предпринимать шаги для защиты своих активов. Сегодня мы вспомним структуру невзаимозаменяемых токенов, а также какие есть уязвимости в их экосистеме, чтобы предотвратить потерю своих NFT.

banner banner

Кража NFT
Кража NFT

NFT (ERC721) — это цифровой актив, представляющий объекты реального мира, искусства, музыки, внутриигровых предметов и видео. Мы храним NFT в общедоступных Ethereum или любых других блокчейнах. NFT нельзя продать или обменять эквивалентно другим токенам ERC20, эти токены уникальны.

Невзаимозаменяемый токен
Невзаимозаменяемый токен

Функционирование экосистемы NFT

Право собственности на NFT записывается в блокчейне и может быть передано владельцем, что позволяет продавать и обменивать NFT. Вся экосистема сначала инициируется создателями.

Они создают цифровые активы, такие как искусство, изображения, видео и т. д. Творческие личности создают цифровой контент и загружают его на хостинг, чтобы искусство было общедоступным. Когда они чеканят или создают NFT, то выполняют код, хранящийся в смарт-контрактах, которые соответствуют различным стандартам, таким как ERC-721. Эта информация добавляется в блокчейн, где осуществляется управление NFT.

Модель функционирования экосистемы NFT
Модель функционирования экосистемы NFT

Затем продавцы и покупатели будут проводить аукционы и торговать своими NFT на платформе NFT. После того как покупатель совершает транзакцию и виртуально подписывает право собственности, платформа записывает транзакцию в блокчейн, включая передачу суммы и все данные владельца на произведение искусства.

Проблемы безопасности NFT

1. Уязвимости смарт-контрактов. По своей сути NFT являются смарт-контрактами, поэтому они уязвимы для злоумышленников, как и любые другие программы. К уязвимостям относятся атаки с повторным входом, кодировка и недостатки контроля доступа. Наиболее распространенная ошибка, которую могут иметь смарт-контракты NFT, — это ошибки контроля доступа, повторный вход.

Слабый пароль
Слабый пароль

2. Уязвимости рынка. Слабое место в NFT-маркетплейсах может представлять опасность для самих NFT. Это может даже привести к краже NFT. Недавно OpenSea стал жертвой атаки, в ходе которой злоумышленник смог приобрести NFT по их старой стоимости. В результате этого сбоя несколько пользователей получили драгоценные NFT по ценам, которые были намного ниже рыночной стоимости токенов.

Покупка NFT ниже рыночной стоимости
Покупка NFT ниже рыночной стоимости

3. Проблема с хранилищем. Если метаданные NFT хранятся в автономном режиме, при возникновении проблем вне сети сама ссылка будет бесполезной и NFT будет недоступен. Централизованные автономные сетевые приложения и системы хранения по-прежнему подвержены риску традиционных DoS-атак.

4. Взломы социальных сетей. В последнее время злоумышленники атакуют учетные записи социальных сетей (Discord/Twitter). Мошенники обычно используют такие методы, как фишинг, социальная инженерия и боты, чтобы скомпрометировать эти учетные записи. После компрометации серверов они могут обманом заставить пользователей подключать кошельки к их вредоносным веб-сайтам для кражи NFT.

Шантаж
Шантаж

5. Мошенничество и фишинг NFT. Как правило, фишинг — это то, как хакеры получают доступ к информации вашей учетной записи NFT. Они часто используют электронную почту или известные сайты социальных сетей и форумы, такие как Twitter и Discord, для распространения мошеннических URL-адресов с этой целью. Как только вы нажмете на ссылку и отправите свою информацию, хакеры смогут получить доступ к вашей учетной записи и взломать ее с помощью кейлогинга или шпионского ПО.

Шпионское ПО
Шпионское ПО

6. Манипулирование рынком в трейдинге. Существует множество способов манипулировать рынком NFT. Некоторыми из распространенных форм рыночных манипуляций являются мошенническая торговля, схемы накачки и сброса, одобрение знаменитостей и т. д. Злоумышленники часто завышают цену NFT, используя вышеуказанные методы, и сбрасывают их с целью получения прибыли.

7. Утечка закрытого ключа/исходной фразы. Владение NFT управляется с помощью закрытого ключа, который служит часовым для всех активов в конкретном цифровом кошельке. Если ваш закрытый ключ просочился, любой, у кого есть к нему доступ, сможет украсть ваши NFT из цифрового кошелька и продать их. Поэтому очень важно хранить закрытый ключ в безопасном месте!

Знаменитые истории взлома NFT

Взлом и кража NFT
Взлом и кража NFT

  • Lympo — 10 января 2022 года спортивная платформа для майнинга NFT Lympo подверглась взлому, в результате которого потеряла 165,2 миллиона токенов LMT, то есть $18,7 миллиона на момент взлома. Основной причиной атаки стала утечка приватного ключа горячего кошелька, что позволило злоумышленникам получить контроль над NFT и украсть его.

  • Farmers World — украдено $15,7 млн. В ноябре 2021 года сетевая игра с криптовалютой WAX, Farmers World, была взломана, в результате чего убытки составили более 100 миллионов йен ($15,7 миллиона). Однако некоторые эксперты предполагают, что эта цифра может достигать 300 миллионов йен.

  • Яхт-клуб Bored Ape — в апреле 2022 года мошенники украли токены у разработчиков коллекции Bored Ape Yacht Club. Кража была совершена путем компрометации аккаунта разработчика в Instagram. В результате взлома было украдено $13,7 млн.

  • DragonSB Finance — украдено $10 миллионов. В апреле 2022 года смарт-контракт компании, работавшей над этим игровым проектом, был взломан хакерами.

  • TopGoal — украдено $2,2 миллиона. В феврале 2022 года TopGoal подвергся атаке и более 4,8 млн TMT были переведены с горячего кошелька платформы на адрес хакера.

  • The Shifters — украдено $2 миллиона. При запуске коллекции The Shifters воры украли деньги у пользователей через поддельные сайты и сообщения в Discord в 2022 году.

  • Торговая площадка Open Sea NFT. В феврале 2022 года пользователи торговой площадки NFT OpenSea стали жертвами фишинговой атаки. Злоумышленнику удалось украсть 1200 ETH у эксплуатируемых пользователей, которые позже были проданы за $1,7 миллиона.

Как пользователь может обеспечить безопасность своего NFT?

Как сохранить NFT
Как сохранить NFT

Важна комплексная проверка! Пользователи должны провести собственную объемную аналитику, прежде чем инвестировать в какие-либо проекты NFT. Обычно проверка включает анализ основных деталей:

  • Профили и опыт основателей проекта.

  • Аккаунты проекта в социальных сетях, таких как Twitter, Discord и т. д.

  • Цена, предложение и редкость NFT.

  • Полезность NFT.

  • Проверьте, прошел ли проект аудит или нет.

  • Торгуйте NFT на авторитетном и безопасном рынке: безопасность является важным фактором для многих трейдеров NFT, особенно с учетом того, что уже было несколько громких взломов платформ.

  • Никогда не подписывайте транзакции NFT вслепую: перед подтверждением транзакции всегда проверяйте детали разрешения в смарт-контрактах. Многие хакеры маскируют свои действия смарт-контрактами, предоставляя им несанкционированный доступ к средствам на вашем кошельке.

  • Взаимодействуйте только с официальными каналами, учетными записями в Твиттере и ссылками: всегда ограничивайте свой Телеграм и электронную почту от получения сообщений от незнакомцев и неофициальных адресов. Сначала используйте веб-сайт для проверки ссылок, который позволит вам узнать, является ли сайт законным.

  • Никогда никому не сообщайте свою исходную фразу или закрытый ключ кошелька: если вы раскроете исходную фразу или закрытый ключ кому-либо, он получит доступ к вашим цифровым активам. Любой, у кого есть доступ к вашему закрытому ключу/начальной фразе, может украсть все ваши токены и NFT.

  • Включите методы аутентификации/2FA для предотвращения взлома учетных записей социальных сетей. Существует множество сценариев, когда учетные записи социальных сетей этих проектов NFT, таких как Discord и Twitter, взламываются и хакеры используют скомпрометированные учетные записи для своей выгоды.

Вывод

В сегодняшнем выпуске мы вспомнили, что такое NFT, подробнее рассмотрели его функционал, а также детально изучили пробелы в безопасности невзаимозаменяемых токенов. Существуют нюансы в уязвимости самих смарт-контрактов, рынков, проблемы с хранилищем и многое другое. Важно то, что на основе этих знаний мы можем уберечь свои активы от взломов путем комплексной проверки всех данных при приобретении NFT, а также при его хранении и эксплуатации. Стоит быть внимательнее и надежно хранить свой закрытый ключ.

Дисклеймер

Мнения экспертов могут не совпадать с позицией редакции. Traffic Cardinal не дает инвестиционных советов, материал опубликован исключительно в ознакомительных целях.

Здравствуйте! У вас включен блокировщик рекламы, часть сайта не будет работать!