非代替トークン (NFT) 市場は 2021 年の夏以降活況を呈しており、NFT の価格が急騰したため、NFT を標的としたハッキングの数も急上昇しました。
最新の注目を集めたハッキングでは、約 600 イーサ (イーサリアム ) DeFiance Capital の創設者である Arthur0x の NFT 相当額が OpenSea で販売されました。
Chainalysis が発行した 2022 年の Crypto Crime Report では、不正なアドレスによって NFT マーケットプレイスに送信された金額が 2021 年に大幅に急増し、140 万ドル弱に達したことが強調されています。また、盗まれた資金が NFT マーケットプレイスに送られることも明らかに増加しました。
NFT プラットフォームに流れる違法な価値の合計。出典: Chainalysis 暗号犯罪レポート 2022NFT プラットフォームに流入する違法な価値が急速に増加していることを考えると、セキュリティ対策と手順が整備されているかどうか、また、そうであれば、これらの対策が所有者を保護するのに効果的であるかどうかを尋ねるのは自然なことです。
最大のNFTプラットフォームであるOpenSeaとそのセキュリティ対策について見ていきましょう。
OpenSea のセキュリティ対策ではユーザーを保護できません
OpenSea には、アカウントが「ハッキング」されると有効になる 2 つの主なセキュリティ対策があります。つまり、侵害されたアカウントをロックし、盗まれた NFT をブロックします。これらの 2 つの対策は、よく見ると非常に効果がありません。
アカウントのロックは、人間の承認なしに OpenSea Web サイトで行うことができます。示した ここでは、NFT をブロックするには、チケットを作成して OpenSea ヘルプ チームからの応答を待つという長いプロセスが必要です。
ハッカーがすでにウォレットを侵害しており、NFT を送金中の場合、アカウントのロックはそれが完了した場合にのみ有効です ハッカーがすべてを転送する前に。
同様に、NFT のブロックも、NFT がハッカーによって別の購入者に販売される前にのみ有効です。さらに悪いことに、このセキュリティ対策は一連の間接的な被害者を生み出し、最終的に販売または譲渡できないブロックされた NFT を作成します.これは、OpenSea で提起されたチケットの応答時間が少なくとも 1 日かかるためです。 NFT が OpenSea によってブロックされるまでに、NFT は別の購入者に売却されており、その購入者が新たな犯罪の被害者となっています。
Arthur0x から盗まれた 17 個の Azuki の場合、同じ 1 分以内に 15 個が盗まれ、3 分後に 2 個が盗まれました。これらの盗まれた NFT が販売されるまでにハッカーの財布にとどまった平均時間は 43 分です。 OpenSea のセキュリティ対策は、被害者に通知してハッカーを阻止するのに十分なほど反応が早く、迅速ではありません。また、購入者が盗まれた NFT を購入して間接的な被害者になるのを防ぐのに十分な速さで通知することもできません。
Aurther0x から盗まれた Azuki NFT。ソース:イーサスキャン.io盗まれた NFT をブロックすると、間接的な犠牲者が生まれる
間接的な被害者とは、ハッキングの標的ではないが、盗まれた NFT のブロックによって間接的に金銭的損失を被った人です。最近の多くの NFT ハッキングからわかるように、NFT は常に OpenSea によってブロックが実装される前に販売されます。 NFT のブロックが遅すぎると、間接的な犠牲者が生まれ、より多くの人々がより多くの損失を被ることになります。
誰かが盗まれた NFT を購入してハッキングの間接的な被害者になる方法を詳しく説明するために、一般的な 3 つのケースを次に示します。
ケース 1: Alice は NFT を購入しましたが、後でそれが盗まれた資産であることがわかりました。 NFT はブロックされており、アリスは OpenSea で販売または譲渡できません。その後、彼女はサポート チケットの発行に進みます。数週間後、OpenSea Trust &安全チームは 2.5% のプラットフォーム料金の払い戻しを申し出ます。運が良ければ、盗難を報告した被害者の電子メール アドレスも含まれる可能性があります。その後、彼女は被害者と長い話し合いをして、ブロックを解除する可能性について交渉する可能性がありますが、それはおそらくどこにも行きません.
Alice は引き続き他の市場で NFT を販売できますが、この特定のコレクションの販売量は非常に少なく、OpenSea 以外のプラットフォームで公正な価格を提示できる買い手はいません。
盗まれた NFT を購入した間接的な被害者に対する OpenSea の対応ケース 2: アリスは、コレクションからの NFT の入札中に複数のオファーを行いました。オファーの 1 つがハッカーによって受け入れられ、ハッカーは被害者のウォレットで入札から支払いを受け取り、ウォレットをクリアしました。 NFT は、被害者による不正な取引から盗まれた資産の一部として、後でブロックされました。
出品されたNFTは出品を取り消さないと譲渡できないため、このようなケースがよくあります。時間のプレッシャーにさらされているハッカーは、入札オファーを受け入れ、売却による収益を得て、送金する可能性が高くなります。以下のケースは、間接的な被害者の NFT コレクション全体が説明なしに OpenSea によってブロックされたことを示しています。
ケース 3: Alice はかなり長い間 NFT を所有していましたが、突然ブロックされ、「疑わしいアクティビティが報告されました」とマークされました。売り手のアカウントは侵害されておらず、取引は少し前に行われました。盗まれた NFT を報告してブロックするのに必要な証拠がないため、誰でも OpenSea の不正対策チームに電子メールを送信して、NFT をブロックすることができます。
後で警察への報告を要求することはできますが、ハッキングを証明するために必要な証拠を特定する OpenSea による明確な声明も、誤って報告された盗まれた NFT を特定してブロックから持ち上げることができる条件もありません。盗まれた NFT を誤って報告しても何の影響もありません。
NFT は、間接的な被害者に提供される警察の報告書などの説明や証拠なしにブロックされることがよくあります。理論的には、これらの NFT は他のプラットフォームで引き続き取引できますが、NFT の総取引量の 95% を占める OpenSea の市場独占を考えると、OpenSea で NFT をブロックすることは、それらを市場から永久に排除することとほぼ同じです。
NFT をブロックすると、人為的に価格が上昇する可能性があります
盗まれた NFT が最大の NFT プラットフォームである OpenSea で取引されないようにすることの危険性は、供給が永久に減少することです。に基づく需要と供給の法則 経済学の理論では、供給が減ると価格が上がる。
例として、Azuki コレクションには 10,000 個の NFT があり、現在 OpenSea で販売されているのは 1,100 個だけです。 Arthur0x のハッキングにより、17 が盗まれてブロックされました。 1,100 の流通供給量の 1.5% 程度にすぎない 17 の NFT ですが、ハッキング後、価格はすでに上昇傾向を示しています。ハッキングは 3 月 22 日に発生し、価格は尖った 3 月 28 日から 3 月 31 日のエアドロップ発表前の 20.96 E まで — 1 週間以内に 55% の増加。
ハッキング後のあずきの売り上げと平均価格。出典:OpenSea盗まれた 17 個の NFT のすべてがブロックされるわけではありませんが、Arthur は間接的な被害者と交渉してそれらを買い戻すことで一部を回復することができましたが、同様の形での将来のハッキングは継続的に発生し、ブロックされた NFT の累積数は、ハッキングが継続し、ブロックを解除する手順はありません。
再びアズキを例にとると、下のグラフは過去の販売数と平均価格を収集して需要曲線を作成し、供給曲線が線形であると仮定しています。需要曲線と供給曲線が交わる点が均衡価格です。
供給が継続的に減少するにつれて、需要曲線の傾きが急になるにつれて価格の上昇速度が速くなります。 300 NFT の供給が 1,000 から 700 に、700 から 400 に均等に減少すると、後者の価格が大幅に上昇します。
下のグラフに示すように、価格は1,000から700への削減から15 ETHから21 ETHに増加しますが、700から400への削減から21 ETHから28 ETHにさらに増加します.
OpenSea からの販売と価格に基づく Azuki の需給曲線盗まれた NFT をブロックすると、コレクションの価格が人為的に上昇する可能性があることは明らかです。誰かが OpenSea セキュリティ システムの抜け穴を利用して、同じコレクションから多くの NFT を盗まれたと誤って報告した場合 (盗まれた NFT を報告するのに証拠は必要ないため)、供給量が少ない場合、コレクションの価格が劇的に上昇する可能性があります。 .この抜け穴は、非流動的な NFT 市場で価格操作の機会を生み出す可能性があります。
いずれにせよ、NFT をブロックすることは、ハッキングを阻止したり、ハッカーを罰したりする効果的な手段ではありませんが、逆に、市場操作者にとってより間接的な被害者や抜け穴を生み出すことになります。これは確かに進むべき道ではないので、効果的なセキュリティ対策はありますか?
予防措置とエビデンスに基づくシステムを導入する必要があります
現在の OpenSea のセキュリティ システムには、事前にユーザーを保護するための予防措置が講じられていません。すべての安全対策は、ハッキング後にのみ実装されます。これが、効果がない主な理由の 1 つです。
ハッカーの行動に基づくと、時間は不可欠な要素です。ハッカーの動きを遅らせたり、被害者に早期に通知したりできるセキュリティ対策が、戦いに勝つための鍵となります。 OpenSea で実装できる、より効果的な予防策を次に示します。
- 異常なアカウント アクティビティを検出し、インスタント テキスト メッセージまたは電子メール アラートを送信してそのようなアクティビティをユーザーに通知できる早期警告システムを作成し、ユーザーが応答するのに十分な時間を確保できるようにします。たとえば、アカウントが 1 分以内に複数の NFT を購入または転送したことがない場合。または、アカウントが特定の期間 (つまり、ユーザーが眠っている時間帯) に過去にアクティビティがなかった場合、そのようなアクティビティの発生は機械学習アルゴリズムによって検出されます。アカウント所有者は、すぐに通知を受けるか、安全のためにアカウントを自動的にロックするかを選択できます。
- 時間枠内で許可される NFT 転送または販売の最大数を制限するオプションをユーザーに提供します。つまり、1 分間に最大 1 回の転送または販売です。または、各転送または販売の間に課される最小時間間隔。つまり、次の転送または販売は、前の転送または販売から 15 分後にのみ行うことができます。これらの対策により、ハッカーが大量の NFT を一度に盗むことを防ぐことができます。
- 疑わしいアカウントのダッシュボードを作成して、被害者が侵害されたアカウントやハッカーのアカウントを公開の精査のために即座に追加できるようにします。これにより、すべての購入者に疑わしいアカウントに関するリアルタイムの情報が提供され、購入前に販売者がリストに含まれているかどうかをクロスチェックできます。報告されたアカウントが実際に侵害されたことを証明するために、後で被害者から警察の報告書などの証拠を要求することができます。
これらの対策の一部は、誤った警告や不便を引き起こす可能性があります。しかし、予防策に関してはハッカーとの時間の競争であることを考えると、ユーザーは次の犠牲者にならないように残念に思うよりもむしろ安全です.
暗号ハッキングに関する一般的な誤解
仮想通貨のハッキングについてよくある誤解は、「セキュリティ意識が高く、ハードウォレットを使用しているため、自分には起こらない」というものです。直接的な悪意のあるハッキングは適切なセキュリティ プラクティスによって回避できることは事実かもしれませんが、他の誰かを標的としたハッキングの間接的な被害者になる可能性は誰にでもあります。ハッキングの数が増えると、間接的な被害者になる可能性もはるかに高くなります。
もう 1 つの誤解は、「ホット ウォレットにあまりお金を入れない限り、ウォレットが侵害されても問題にならない」というものです。ほとんどのユーザーが気付いていないのは、金銭的損失はハッキングの影響の 1 つに過ぎないということです。 Web3 ウォレットを失うことは、クレジット履歴全体を失うようなものです。エアドロップやローンやレバレッジへのアクセスなどの過去の活動に基づく将来の利益も、侵害されたウォレットで蒸発する可能性があります。
ブロックチェーンはこれまでに作成された中で最も安全な金融技術の 1 つですが、暗号ベースのプラットフォームに対する悪意のあるハッキングは、Web3 ベンチャーにとって最大の脅威です。
ブロックチェーンの元に戻せない性質と OpenSea の予防的なセキュリティ対策の欠如を考えると、OpenSea がその後に思いついた最善のソリューションを理解することは難しくありません。イーサリアム ドメイン オークション ハッキング 盗んだ NFT を返還する代わりに、販売から 25% の利益をハッカーに提供するというものです。 NFT市場の世界でのみ、犯罪者はそのような重大な犯罪に対して罰せられるのではなく、報酬を得ることができます.
NFT 市場の独占企業として、OpenSea は確かにこれよりもうまく機能し、セキュリティ対策をより真剣に取り、ユーザーにより多くの保護を提供できます。
ここで表明された見解と意見は、もっぱら著者のものであり、Cointelegraph.com の見解を必ずしも反映するものではありません。すべての投資と取引の動きにはリスクが伴います。決定を下す際には、独自の調査を行う必要があります。