นี่คือวิธีที่การแฮ็ก OpenSea NFT ทำร้ายเจ้าของ ผู้ซื้อ และแม้แต่คอลเลกชันทั้งหมด

ตลาดโทเค็นที่ไม่สามารถเปลี่ยนได้ (NFT) เฟื่องฟูตั้งแต่ช่วงฤดูร้อนปี 2021 และเนื่องจากราคา NFT พุ่งสูงขึ้น จำนวนการแฮ็กที่กำหนดเป้าหมายไปยัง NFT ก็เพิ่มขึ้นเช่นกัน

การแฮ็กข้อมูลระดับสูงล่าสุดได้ดูดเอา Ether ไปประมาณ 600 Ether (ETH) มูลค่า NFTs จาก Arthur0x ผู้ก่อตั้ง DeFiance Capital ซึ่งจากนั้นขายใน OpenSea

รายงานอาชญากรรมคริปโตปี 2022 ที่เผยแพร่โดย Chainalysis เน้นว่ามูลค่าที่ส่งไปยังตลาด NFT โดยที่อยู่ผิดกฎหมายนั้นเพิ่มขึ้นอย่างมากในปี 2021 โดยมีมูลค่าสูงถึง 1.4 ล้านดอลลาร์ นอกจากนี้ยังมีการเพิ่มขึ้นอย่างชัดเจนในเงินที่ถูกขโมยที่ส่งไปยังตลาด NFT

*มูลค่าที่ผิดกฎหมายทั้งหมดที่ไหลเข้าสู่แพลตฟอร์ม NFT ที่มา: Chainalysis Crypto Crime Report 2022*

เนื่องจากการเพิ่มขึ้นอย่างรวดเร็วของมูลค่าที่ผิดกฎหมายที่ไหลเข้าสู่แพลตฟอร์ม NFT จึงเป็นเรื่องปกติที่จะถามว่ามีมาตรการและขั้นตอนด้านความปลอดภัยหรือไม่ และหากมี มาตรการเหล่านี้มีประสิทธิภาพในการปกป้องเจ้าของหรือไม่

มาดู OpenSea แพลตฟอร์ม NFT ที่ใหญ่ที่สุด และมาตรการรักษาความปลอดภัยกัน

มาตรการรักษาความปลอดภัยที่ OpenSea ไม่สามารถปกป้องผู้ใช้ได้

OpenSea มีมาตรการรักษาความปลอดภัยหลักสองประการที่จะเริ่มทำงานเมื่อบัญชีถูก "แฮ็ก" - ล็อคบัญชีที่ถูกบุกรุกและบล็อก NFT ที่ถูกขโมย มาตรการทั้งสองนี้ไม่ได้ผลมากเมื่อพิจารณาอย่างใกล้ชิด

การล็อคบัญชีสามารถทำได้บนเว็บไซต์ OpenSea โดยไม่ได้รับอนุญาตจากมนุษย์เช่น แสดง ที่นี่ ในขณะที่การบล็อก NFTs นั้นเกี่ยวข้องกับกระบวนการที่ยาวนานในการเพิ่มตั๋วและรอให้ทีมช่วยเหลือของ OpenSea ตอบกลับ

ในสถานการณ์ที่แฮ็กเกอร์บุกรุกกระเป๋าสตางค์ไปแล้วและอยู่ในขั้นตอนการโอน NFTs ออก การล็อกบัญชีจะมีผลก็ต่อเมื่อเสร็จสิ้นก่อนที่แฮ็กเกอร์จะโอนทุกอย่างออก

ในทำนองเดียวกัน การบล็อก NFT จะมีผลเฉพาะก่อนที่แฮ็กเกอร์จะขาย NFT ให้กับผู้ซื้อรายอื่น ที่แย่กว่านั้นคือมาตรการรักษาความปลอดภัยนี้สร้างชุดของเหยื่อทางอ้อมที่จบลงด้วย NFT ที่ถูกบล็อกซึ่งไม่สามารถขายหรือโอนได้ เนื่องจากเวลาตอบกลับสำหรับตั๋วที่เพิ่มใน OpenSea คืออย่างน้อยหนึ่งวัน เมื่อถึงเวลาที่ NFTs ถูกบล็อกโดย OpenSea พวกเขาจะถูกขายให้กับผู้ซื้อรายอื่นซึ่งตอนนี้กลายเป็นเหยื่อรายใหม่ของอาชญากรรม

ในกรณีของ Azuki ที่ถูกขโมย 17 ตัวจาก Arthur0x 15 ตัวถูกขโมยภายในนาทีเดียวกันและอีกสองตัวถูกขโมยในอีกสามนาทีต่อมา เวลาเฉลี่ย NFT ที่ถูกขโมยเหล่านี้อยู่ในกระเป๋าสตางค์ของแฮ็กเกอร์ก่อนที่จะขายคือ 43 นาที มาตรการรักษาความปลอดภัยจาก OpenSea ไม่ตอบสนองและรวดเร็วพอที่จะแจ้งให้เหยื่อทราบและหยุดแฮ็กเกอร์ ทั้งพวกเขาไม่สามารถแจ้งให้ผู้ซื้อทราบได้ทันทีพอที่จะหยุดพวกเขาจากการซื้อ NFT ที่ขโมยมาและตกเป็นเหยื่อทางอ้อม

*ขโมย NFT ของ Azuki จาก Aurther0x แหล่งที่มา:* *Etherscan.io*

การบล็อก NFT ที่ถูกขโมยจะสร้างเหยื่อทางอ้อม

เหยื่อทางอ้อมคือผู้ที่ไม่ใช่เป้าหมายของการแฮ็ก แต่ได้รับความทุกข์ทรมานทางอ้อมจากความสูญเสียทางการเงินที่เกิดจากการบล็อก NFT ที่ถูกขโมยมา ตามที่เห็นจากการแฮ็ก NFT ล่าสุดจำนวนมาก NFT จะถูกขายเสมอก่อนที่ OpenSea จะใช้งานบล็อก ผลที่ตามมาของการบล็อก NFT ที่สายเกินไปคือการสร้างเหยื่อทางอ้อมและความสูญเสียที่มากขึ้นสำหรับผู้คนจำนวนมากขึ้น

เพื่อแสดงให้เห็นรายละเอียดเพิ่มเติมว่าทุกคนสามารถซื้อ NFT ที่ถูกขโมยมาและกลายเป็นเหยื่อทางอ้อมของการแฮ็กได้อย่างไร ต่อไปนี้คือกรณีทั่วไปสามกรณี:

กรณีฮิต: อลิซซื้อ NFT แต่มารู้ทีหลังว่ามันเป็นทรัพย์สินที่ถูกขโมยไป NFT ถูกบล็อกและ Alice ไม่สามารถขายหรือโอนบน OpenSea จากนั้นเธอก็ดำเนินการเพิ่มตั๋วสนับสนุน หลังจากผ่านไปหลายสัปดาห์ ทีมงาน OpenSea Trust & Safety เสนอที่จะคืนเงินค่าธรรมเนียมแพลตฟอร์ม 2.5%; และอาจเป็นที่อยู่อีเมลของเหยื่อที่รายงานการโจรกรรมหากโชคดี จากนั้น เธอน่าจะมีการสนทนายาวกับเหยื่อเพื่อเจรจาความเป็นไปได้ที่จะยกเลิกการบล็อก ซึ่งมีแนวโน้มว่าจะจบลงที่ไหนไม่ได้

อลิซยังสามารถขาย NFT ในตลาดอื่น ๆ ได้ แต่ปริมาณการขายสำหรับคอลเลกชันเฉพาะนี้ต่ำมาก และไม่มีผู้ซื้อรายใดที่สามารถเสนอราคาที่ยุติธรรมบนแพลตฟอร์มอื่นนอกเหนือจาก OpenSea

*การตอบสนองของ OpenSea ต่อเหยื่อทางอ้อมที่ซื้อ NFT ที่ถูกขโมยมา*

กรณีฮิต: อลิซยื่นข้อเสนอหลายรายการขณะเสนอราคา NFT จากคอลเล็กชัน แฮ็กเกอร์ยอมรับข้อเสนอหนึ่งในข้อเสนอ ซึ่งได้รับเงินจากการประมูลในกระเป๋าเงินของเหยื่อ และดำเนินการล้างกระเป๋าเงินออก NFT ถูกบล็อกในภายหลังโดยเป็นส่วนหนึ่งของทรัพย์สินที่ถูกขโมยจากการทำธุรกรรมที่ไม่ได้รับอนุญาตโดยเหยื่อ

กรณีเช่นนี้มักเกิดขึ้นเนื่องจากไม่สามารถโอน NFT ที่อยู่ในรายการได้ เว้นแต่รายชื่อจะถูกยกเลิก แฮ็กเกอร์ซึ่งอยู่ภายใต้แรงกดดันด้านเวลามีแนวโน้มที่จะยอมรับการเสนอราคาและรับเงินจากการขายและโอนเงินออก กรณีด้านล่างแสดงให้เห็นว่า OpenSea บล็อกการรวบรวม NFT ทั้งหมดของเหยื่อทางอ้อมได้อย่างไรโดยไม่มีคำอธิบาย

นี่คือหัวข้อของฉันเกี่ยวกับวิธีการ @ทะเลเปิด บล็อกบัญชีของฉันอย่างไม่สมเหตุสมผลและระงับ NFT ทั้งหมดของฉันหลังจากข้อเสนอของฉัน 40 สำหรับ @BoredApeYC #6267 ได้รับการยอมรับแล้ว
ฉันคิดว่ามันสำคัญมากที่จะเผยแพร่กรณีนี้ในชุมชน NFT!
เริ่มกันเลย ⬇️ pic.twitter.com/xnxctpzzpL
— Mpa3yka (@Mpa3yka) November 10, 2021

กรณีฮิต: อลิซเป็นเจ้าของ NFT มาระยะหนึ่งแล้ว และทันใดนั้นก็ถูกบล็อกและทำเครื่องหมายว่า "ถูกรายงานว่ามีกิจกรรมที่น่าสงสัย" บัญชีของผู้ขายไม่ถูกบุกรุกและการทำธุรกรรมเกิดขึ้นเมื่อไม่นานมานี้ เนื่องจากไม่มีหลักฐานที่จำเป็นในการรายงาน NFT ที่ถูกขโมยและบล็อก ทุกคนสามารถส่งอีเมลไปยังทีมต่อต้านการฉ้อโกงของ OpenSea เพื่อบล็อก NFT ใดๆ

แม้ว่ารายงานของตำรวจสามารถขอได้ในภายหลัง แต่ไม่มีคำชี้แจงที่ชัดเจนจาก OpenSea เพื่อระบุหลักฐานที่จำเป็นในการพิสูจน์การแฮ็กหรือเงื่อนไขที่สามารถระบุและยก NFT ที่ถูกขโมยมาซึ่งรายงานอย่างเป็นเท็จออกจากบล็อกได้ ไม่มีผลใดๆ สำหรับการรายงาน NFT ที่ถูกขโมยอย่างไม่ถูกต้อง

NFT มักถูกบล็อกโดยไม่มีคำอธิบายหรือหลักฐาน เช่น รายงานของตำรวจที่มอบให้แก่เหยื่อทางอ้อม ในทางทฤษฎี NFT เหล่านี้ยังสามารถซื้อขายได้บนแพลตฟอร์มอื่น ๆ แต่ด้วยการผูกขาดของ OpenSea ในตลาด โดย 95% ของปริมาณการซื้อขาย NFT ทั้งหมด การบล็อก NFT ใดๆ บน OpenSea นั้นเกือบจะเทียบเท่ากับการนำออกจากตลาดตลอดไป

การบล็อก NFT อาจทำให้ราคาเพิ่มขึ้น

อันตรายจากการบล็อก NFT ที่ถูกขโมยจากการซื้อขายบนแพลตฟอร์ม NFT ที่ใหญ่ที่สุด OpenSea คือการลดอุปทานอย่างถาวร ขึ้นอยู่กับ กฎของอุปสงค์และอุปทาน ตามทฤษฎีเศรษฐศาสตร์ เมื่ออุปทานลดลง ราคาก็จะสูงขึ้น

ตัวอย่างเช่น คอลเลกชัน Azuki มี 10,000 NFTs และปัจจุบันมีเพียง 1,100 เท่านั้นที่ลดราคาใน OpenSea แฮ็ค Arthur0x ส่งผลให้ 17 ถูกขโมยและบล็อก แม้ว่า NFT 17 รายการจะมีเพียง 1.5% ของอุปทานหมุนเวียน 1,100 รายการ แต่ราคาได้แสดงให้เห็นแล้วว่ามีแนวโน้มเพิ่มขึ้นหลังจากการแฮ็ก แฮ็คเกิดขึ้นเมื่อวันที่ 22 มีนาคมและราคา แหลม ในวันที่ 28 มีนาคมถึง 20.96 E ก่อนการประกาศ airdrop ในวันที่ 31 มีนาคม — เพิ่มขึ้น 55% ภายในหนึ่งสัปดาห์

*ขายอะซึกิและราคาเฉลี่ยหลังแฮ็ค ที่มา: OpenSea*

แม้ว่า NFTs ที่ถูกขโมยทั้ง 17 รายการจะไม่ถูกบล็อกเนื่องจาก Arthur สามารถกู้คืนบางส่วนผ่านการเจรจากับเหยื่อทางอ้อมเพื่อซื้อกลับ แต่การแฮ็กในอนาคตในรูปแบบเดียวกันจะเกิดขึ้นอย่างต่อเนื่อง และจำนวน NFT ที่ถูกบล็อกสะสมจะเพิ่มขึ้นได้เมื่อการแฮ็กดำเนินต่อไป และ ไม่มีขั้นตอนใดในการปลดบล็อก

ใช้ Azuki เป็นตัวอย่างอีกครั้ง กราฟด้านล่างรวบรวมจำนวนการขายและราคาเฉลี่ยในอดีตเพื่อสร้างเส้นอุปสงค์และถือว่าเส้นอุปทานเป็นเส้นตรง จุดที่เส้นอุปสงค์และอุปทานตัดกันคือราคาดุลยภาพ

เมื่ออุปทานลดลงอย่างต่อเนื่อง ความเร็วของการเพิ่มขึ้นของราคาจะเร็วขึ้นเมื่อความชันของเส้นอุปสงค์สูงขึ้น อุปทาน NFT ที่ลดลงเท่ากัน 300 จาก 1,000 เป็น 700 เทียบกับ 700 เป็น 400 ส่งผลให้ราคาเพิ่มขึ้นในช่วงหลัง

ตามที่แสดงในกราฟด้านล่าง ราคาเพิ่มขึ้นจาก 15 ETH เป็น 21 ETH จากการลด 1,000 เป็น 700 แต่เพิ่มขึ้นจาก 21 ETH เป็น 28 ETH จากการลด 700 เป็น 400

*เส้นอุปสงค์และอุปทานของ Azuki ตามยอดขายและราคาจาก OpenSea*

เห็นได้ชัดว่าการบล็อก NFT ที่ถูกขโมยอาจทำให้ราคาของคอลเล็กชันสูงขึ้นเกินจริงได้ หากมีคนต้องการใช้ประโยชน์จากช่องโหว่ในระบบความปลอดภัยของ OpenSea โดยรายงาน NFT จำนวนมากจากคอลเลกชันเดียวกันอย่างไม่ถูกต้องว่าถูกขโมย (เนื่องจากไม่จำเป็นต้องมีหลักฐานในการรายงาน NFT ที่ถูกขโมย) ราคาของการรวบรวมอาจเพิ่มขึ้นอย่างมากหากอุปทานมีน้อย . ช่องโหว่นี้สามารถสร้างโอกาสในการปรับราคาในตลาด NFT ที่มีสภาพคล่องต่ำ

ไม่ว่าในกรณีใด การบล็อก NFT ไม่ใช่มาตรการที่มีประสิทธิภาพในการหยุดการแฮ็กหรือลงโทษแฮ็กเกอร์ แต่ในทางกลับกัน จะสร้างเหยื่อและช่องโหว่ทางอ้อมมากขึ้นสำหรับผู้บิดเบือนตลาด นี่ไม่ใช่หนทางที่จะไปอย่างแน่นอน ดังนั้นจะมีมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพหรือไม่?

ต้องมีมาตรการป้องกันและระบบตามหลักฐาน

ระบบรักษาความปลอดภัย OpenSea ปัจจุบันไม่มีมาตรการป้องกันเพื่อป้องกันผู้ใช้ล่วงหน้า มาตรการด้านความปลอดภัยทั้งหมดจะดำเนินการหลังจากการแฮ็กเท่านั้น ซึ่งเป็นหนึ่งในสาเหตุหลักที่ทำให้ไม่มีประสิทธิภาพ

ตามพฤติกรรมของแฮกเกอร์ เวลาเป็นองค์ประกอบที่สำคัญ มาตรการรักษาความปลอดภัยที่สามารถทำให้แฮ็กเกอร์ช้าลงหรือแจ้งให้เหยื่อทราบล่วงหน้าเป็นกุญแจสำคัญในการชนะการต่อสู้ ต่อไปนี้คือมาตรการป้องกันที่มีประสิทธิภาพมากกว่าที่ OpenSea สามารถนำมาใช้ได้:

สร้างระบบเตือนล่วงหน้าที่สามารถตรวจจับกิจกรรมในบัญชีที่ผิดปกติและส่งข้อความโต้ตอบแบบทันทีหรืออีเมลแจ้งเตือนเพื่อแจ้งให้ผู้ใช้ทราบถึงกิจกรรมดังกล่าวเพื่อให้มีเวลาเพียงพอในการตอบกลับ ตัวอย่างเช่น หากบัญชีไม่เคยซื้อหรือโอน NFT มากกว่าหนึ่งรายการภายในหนึ่งนาที หรือหากบัญชีไม่เคยมีกิจกรรมใด ๆ ในอดีตในช่วงเวลาที่กำหนด (เช่น โซนเวลาที่ผู้ใช้หลับ) กิจกรรมดังกล่าวจะถูกตรวจพบโดยอัลกอริธึมการเรียนรู้ของเครื่อง เจ้าของบัญชีสามารถเลือกที่จะได้รับแจ้งทันทีหรืออนุญาตให้บัญชีถูกล็อคโดยอัตโนมัติเพื่อความปลอดภัย

ให้ตัวเลือกแก่ผู้ใช้ในการจำกัดจำนวนสูงสุดของการถ่ายโอนหรือการขาย NFT ที่อนุญาตภายในกรอบเวลา กล่าวคือ การโอนหรือการขายสูงสุดหนึ่งครั้งภายในหนึ่งนาที หรือช่วงเวลาขั้นต่ำที่กำหนดไว้ระหว่างการโอนหรือการขายแต่ละครั้ง กล่าวคือ การโอนหรือการขายครั้งถัดไปจะเกิดขึ้นได้หลังจากครั้งก่อนหน้าเพียง 15 นาทีเท่านั้น มาตรการเหล่านี้สามารถป้องกันแฮกเกอร์จากการขโมย NFT จำนวนมากในคราวเดียว

สร้างแดชบอร์ดบัญชีที่น่าสงสัยที่อนุญาตให้เหยื่อเพิ่มบัญชีที่ถูกบุกรุกและบัญชีของแฮ็กเกอร์ในทันทีเพื่อการตรวจสอบสาธารณะ ข้อมูลนี้จะให้ข้อมูลแบบเรียลไทม์แก่ผู้ซื้อทั้งหมดเกี่ยวกับบัญชีที่น่าสงสัยและความสามารถในการตรวจสอบข้ามว่าผู้ขายอยู่ในรายชื่อก่อนที่จะซื้อหรือไม่ เหยื่อสามารถขอหลักฐานเช่นรายงานของตำรวจได้ในภายหลังเพื่อพิสูจน์ว่าบัญชีที่รายงานถูกบุกรุกอย่างแท้จริง

มาตรการเหล่านี้บางส่วนอาจก่อให้เกิดการเตือนภัยและความไม่สะดวกที่ผิดพลาด แต่เนื่องจากเป็นการแข่งขันของเวลากับแฮ็กเกอร์เมื่อพูดถึงมาตรการป้องกัน ผู้ใช้ค่อนข้างจะปลอดภัยมากกว่าเสียใจที่จะหลีกเลี่ยงการตกเป็นเหยื่อรายต่อไป

ความเข้าใจผิดที่พบบ่อยเกี่ยวกับการแฮ็ก crypto

ความเข้าใจผิดที่พบบ่อยเกี่ยวกับการแฮ็ก crypto คือ "สิ่งนี้จะไม่เกิดขึ้นกับฉันเพราะความตระหนักด้านความปลอดภัยของฉันอยู่ในระดับสูง และฉันใช้กระเป๋าสตางค์แบบแข็ง" อาจเป็นความจริงที่สามารถหลีกเลี่ยงแฮ็คที่เป็นอันตรายโดยตรงผ่านแนวปฏิบัติด้านความปลอดภัยที่ดี แต่ทุกคนสามารถกลายเป็นเหยื่อทางอ้อมของการแฮ็คที่กำหนดเป้าหมายไปที่บุคคลอื่น เมื่อจำนวนการแฮ็กเพิ่มขึ้น โอกาสในการตกเป็นเหยื่อทางอ้อมก็สูงขึ้นเช่นกัน

ความเข้าใจผิดอีกประการหนึ่งคือ “ตราบใดที่ฉันไม่เก็บเงินมากเกินไปในกระเป๋าเงินร้อนของฉัน มันไม่สำคัญว่ากระเป๋าเงินจะถูกบุกรุก” สิ่งที่ผู้ใช้ส่วนใหญ่ไม่ตระหนักคือการสูญเสียเงินเป็นเพียงผลสะท้อนเดียวของการแฮ็ก การสูญเสียกระเป๋าเงิน Web3 เหมือนกับการสูญเสียประวัติเครดิตทั้งหมดของคุณ ผลประโยชน์ในอนาคตที่อิงจากกิจกรรมในอดีต เช่น airdrops หรือการเข้าถึงเงินกู้และเลเวอเรจ อาจระเหยไปกับกระเป๋าเงินที่ถูกบุกรุก

แม้ว่าบล็อคเชนจะเป็นหนึ่งในเทคโนโลยีทางการเงินที่ปลอดภัยที่สุดเท่าที่เคยมีมา

เนื่องจากลักษณะที่ไม่สามารถย้อนกลับได้ของ blockchain และการขาดมาตรการรักษาความปลอดภัยเชิงป้องกันของ OpenSea จึงไม่ยากที่จะเห็นทางออกที่ดีที่สุดที่ OpenSea เกิดขึ้นหลังจาก แฮ็คการประมูลโดเมน Ethereum คือการเสนอผลกำไร 25% ให้กับแฮ็กเกอร์จากการขายเพื่อแลกกับการคืน NFT ที่ขโมยมา เฉพาะในโลกของตลาด NFT เท่านั้นที่สามารถให้รางวัลแก่อาชญากรแทนที่จะถูกลงโทษสำหรับอาชญากรรมร้ายแรงเช่นนี้

ในฐานะที่เป็นผู้ผูกขาดตลาด NFT OpenSea สามารถทำได้ดีกว่านี้อย่างแน่นอนและดำเนินมาตรการรักษาความปลอดภัยอย่างจริงจังมากขึ้นและให้การปกป้องผู้ใช้มากขึ้น

มุมมองและความคิดเห็นที่แสดงไว้ในที่นี้เป็นของผู้เขียนและไม่จำเป็นต้องสะท้อนมุมมองของ Cointelegraph.com การลงทุนและการซื้อขายทั้งหมดเกี่ยวข้องกับความเสี่ยงคุณควรดำเนินการวิจัยของคุณเองเมื่อตัดสินใจ