Thị trường mã thông báo không thể thay thế (NFT) đã bùng nổ kể từ mùa hè năm 2021 và khi giá NFT tăng vọt, số vụ tấn công nhắm vào NFT cũng tăng theo.
Vụ hack cao cấp gần đây nhất đã bòn rút khoảng 600 Ether (ETH ) giá trị NFT từ Arthur0x, người sáng lập DeFiance Capital, sau đó được bán trên OpenSea.
Báo cáo tội phạm tiền điện tử năm 2022 do Chainalysis công bố đã nhấn mạnh rằng giá trị được gửi đến thị trường NFT bởi các địa chỉ bất hợp pháp đã tăng đáng kể vào năm 2021, đạt mức cao nhất chỉ dưới 1,4 triệu đô la. Cũng có sự gia tăng rõ ràng về số tiền bị đánh cắp được gửi đến các thị trường NFT.
Với sự gia tăng nhanh chóng đáng lo ngại về giá trị bất hợp pháp chảy vào các nền tảng NFT, việc đặt câu hỏi liệu các biện pháp và thủ tục bảo mật có được áp dụng hay không và nếu có thì liệu các biện pháp này có hiệu quả trong việc bảo vệ chủ sở hữu hay không.
Hãy cùng xem OpenSea, nền tảng NFT lớn nhất và các biện pháp bảo mật của nó.
OpenSea có hai biện pháp bảo mật chính có tác dụng sau khi tài khoản bị “tấn công” — khóa tài khoản bị xâm nhập và chặn các NFT bị đánh cắp. Hai biện pháp này rất kém hiệu quả khi xem xét kỹ lưỡng.
Việc khóa tài khoản có thể được thực hiện trên trang web của OpenSea mà không cần sự chấp thuận của con người vìcho xem ở đây, trong khi việc chặn NFT liên quan đến một quá trình dài để tăng vé và chờ nhóm trợ giúp OpenSea phản hồi.
Trong trường hợp tin tặc đã xâm phạm ví và đang trong quá trình chuyển NFT ra ngoài, việc khóa tài khoản sẽ chỉ có hiệu lực nếu việc đó được thực hiện trước khi tin tặc chuyển mọi thứ ra ngoài.
Tương tự, việc chặn NFT cũng chỉ có hiệu lực trước khi NFT được tin tặc bán cho người mua khác. Điều thậm chí còn tồi tệ hơn là biện pháp bảo mật này tạo ra một loạt nạn nhân gián tiếp, những người kết thúc với NFT bị chặn không thể bán hoặc chuyển nhượng. Điều này là do thời gian phản hồi đối với yêu cầu tăng trong OpenSea là ít nhất một ngày. Vào thời điểm các NFT bị OpenSea chặn, chúng đã được bán cho một người mua khác, người hiện trở thành nạn nhân mới của tội phạm.
Trong trường hợp 17 chiếc Azuki bị đánh cắp từ Arthur0x, 15 chiếc bị đánh cắp trong cùng một phút và hai chiếc bị đánh cắp ba phút sau đó. Thời gian trung bình những NFT bị đánh cắp này nằm trong ví của tin tặc trước khi chúng được bán là 43 phút. Các biện pháp bảo mật từ OpenSea không đủ nhanh và nhạy để thông báo cho nạn nhân và ngăn chặn tin tặc; họ cũng không thể thông báo kịp thời cho người mua để ngăn họ mua NFT bị đánh cắp và trở thành nạn nhân gián tiếp.
Nạn nhân gián tiếp là người không phải là mục tiêu của vụ hack nhưng gián tiếp chịu tổn thất tài chính do việc chặn các NFT bị đánh cắp. Như đã thấy từ nhiều vụ hack NFT gần đây, các NFT luôn được bán trước khi khối được triển khai bởi OpenSea. Hậu quả của việc chặn NFT quá muộn là nó tạo ra những nạn nhân gián tiếp và nhiều tổn thất hơn cho nhiều người hơn.
Để minh họa chi tiết hơn về việc bất kỳ ai cũng có thể mua NFT bị đánh cắp và trở thành nạn nhân gián tiếp của một vụ hack, dưới đây là ba trường hợp phổ biến:
Trường hợp 1: Alice đã mua một NFT nhưng sau đó mới phát hiện ra rằng đó là tài sản bị đánh cắp. NFT bị chặn và Alice không thể bán hoặc chuyển nhượng nó trên OpenSea. Sau đó, cô ấy tiếp tục quyên góp một phiếu ủng hộ. Sau vài tuần, OpenSea Trust & Nhóm an toàn đề nghị hoàn lại 2,5% phí nền tảng; và có thể là địa chỉ email của nạn nhân đã báo mất trộm nếu may mắn. Sau đó, cô ấy có thể sẽ có một cuộc thảo luận dài với nạn nhân để thương lượng về khả năng dỡ bỏ rào cản, điều rất có thể sẽ chẳng đi đến đâu.
Alice vẫn có thể bán NFT ở các thị trường khác nhưng khối lượng bán rất thấp đối với bộ sưu tập cụ thể này và không có người mua nào có thể đưa ra mức giá hợp lý trên các nền tảng khác ngoài OpenSea.
Trường hợp 2: Alice đã đưa ra nhiều ưu đãi trong khi đấu giá NFT từ một bộ sưu tập. Một trong những đề nghị đã được tin tặc chấp nhận, sau đó kẻ này đã nhận được khoản thanh toán từ giá thầu trong ví của nạn nhân và tiến hành xóa ví. NFT sau đó đã bị chặn như một phần tài sản bị đánh cắp từ các giao dịch trái phép của nạn nhân.
Những trường hợp như thế này thường xảy ra vì các NFT đã niêm yết không thể được chuyển trừ khi việc niêm yết bị hủy bỏ. Tin tặc, người chịu áp lực về thời gian, sẽ có nhiều khả năng chấp nhận lời đề nghị trả giá và nhận số tiền thu được từ việc bán và chuyển tiền ra ngoài. Trường hợp dưới đây cho thấy toàn bộ bộ sưu tập NFT của nạn nhân gián tiếp đã bị OpenSea chặn mà không có lời giải thích.
Đây là chủ đề của tôi về cách@opensea khóa tài khoản của tôi một cách vô lý và đóng băng tất cả các NFT của tôi sau khi tôi cung cấp 40 weth cho@BoredApeYC #6267 đã được chấp nhận.
- Mpa3yka (@Mpa3yka)Ngày 10 tháng 11 năm 2021
Tôi nghĩ việc phổ biến trường hợp này trong cộng đồng NFT là rất quan trọng!
Bắt đầu nào ⬇️pic.twitter.com/xnxctpzzpL
Trường hợp 3: Alice đã sở hữu một NFT được một thời gian và đột nhiên nó bị chặn và đánh dấu là “được báo cáo về hoạt động đáng ngờ”. Tài khoản của người bán không bị xâm phạm và giao dịch đã xảy ra cách đây một thời gian. Vì không có bằng chứng cần thiết để báo cáo một NFT bị đánh cắp và chặn nó, nên bất kỳ ai cũng có thể gửi email đến nhóm chống gian lận của OpenSea để chặn bất kỳ NFT nào.
Mặc dù có thể yêu cầu báo cáo của cảnh sát sau đó, nhưng OpenSea không có tuyên bố rõ ràng nào để chỉ định bằng chứng cần thiết để chứng minh vụ hack cũng như điều kiện theo đó một NFT bị đánh cắp được báo cáo sai có thể được xác định và gỡ bỏ khỏi khối. Không có hậu quả nào cho việc báo cáo sai NFT bị đánh cắp.
NFT thường bị chặn mà không có lời giải thích hoặc bằng chứng nào, chẳng hạn như báo cáo của cảnh sát được cung cấp cho nạn nhân gián tiếp. Về mặt lý thuyết, các NFT này vẫn có thể được giao dịch trên các nền tảng khác, nhưng với sự độc quyền của OpenSea trên thị trường, với 95% tổng khối lượng giao dịch NFT, việc chặn bất kỳ NFT nào trên OpenSea gần như tương đương với việc loại bỏ chúng vĩnh viễn khỏi thị trường.
Nguy cơ chặn NFT bị đánh cắp giao dịch trên nền tảng NFT lớn nhất OpenSea là nguồn cung giảm vĩnh viễn. Dựa vàoquy luật cung cầu trong lý thuyết kinh tế, khi nguồn cung giảm, giá sẽ tăng.
Ví dụ: bộ sưu tập Azuki có 10.000 NFT và hiện tại, chỉ có 1.100 chiếc được bán trên OpenSea. Vụ hack Arthur0x khiến 17 tài khoản bị đánh cắp và bị chặn. Mặc dù 17 NFT chỉ chiếm khoảng 1,5% trong số 1.100 nguồn cung đang lưu hành, nhưng giá đã cho thấy xu hướng tăng sau vụ hack. Vụ hack xảy ra vào ngày 22 tháng 3 và giáđạt đỉnh vào ngày 28 tháng 3 đến 20,96 E trước thông báo airdrop vào ngày 31 tháng 3 — mức tăng 55% trong vòng một tuần.
Mặc dù không phải tất cả 17 NFT bị đánh cắp đều bị chặn vì Arthur đã tìm cách khôi phục một số thông qua thương lượng với các nạn nhân gián tiếp để mua lại chúng, nhưng các vụ hack trong tương lai ở dạng tương tự sẽ liên tục xảy ra và số lượng NFT bị chặn tích lũy chỉ có thể tăng lên khi các vụ hack tiếp tục và không có quy trình nào được áp dụng để bỏ chặn chúng.
Sử dụng Azuki làm ví dụ một lần nữa, biểu đồ bên dưới thu thập số lần bán trước đây và giá trung bình để tạo đường cầu và giả sử đường cung là tuyến tính. Giao điểm của đường cung và đường cầu là mức giá cân bằng.
Khi nguồn cung liên tục giảm, tốc độ tăng giá càng nhanh khi độ dốc của đường cầu càng dốc. Việc giảm tương đương 300 NFT trong nguồn cung từ 1.000 xuống 700 so với từ 700 lên 400 dẫn đến mức tăng giá lớn hơn cho loại sau.
Như được hiển thị trong biểu đồ bên dưới, giá tăng từ 15 ETH lên 21 ETH từ mức giảm 1.000 xuống 700, nhưng tăng nhiều hơn từ 21 ETH lên 28 ETH từ mức giảm 700 xuống 400.
Rõ ràng là việc chặn các NFT bị đánh cắp có thể làm tăng giá bộ sưu tập một cách giả tạo. Nếu ai đó muốn lợi dụng kẽ hở trong hệ thống bảo mật OpenSea bằng cách báo cáo sai nhiều NFT từ cùng một bộ sưu tập là bị đánh cắp (vì không cần bằng chứng để báo cáo NFT bị đánh cắp), giá của bộ sưu tập có thể tăng đáng kể nếu nguồn cung thấp . Lỗ hổng này có thể tạo cơ hội thao túng giá trên thị trường NFT kém thanh khoản.
Trong mọi trường hợp, chặn NFT không phải là biện pháp hiệu quả để ngăn chặn hack hoặc trừng phạt hacker mà ngược lại, tạo ra nhiều nạn nhân gián tiếp hơn và sơ hở cho những kẻ thao túng thị trường. Đây chắc chắn không phải là cách để đi, vậy có biện pháp bảo mật hiệu quả nào không?
Hệ thống bảo mật OpenSea hiện tại không có biện pháp phòng ngừa để bảo vệ người dùng trước. Tất cả các biện pháp an toàn chỉ được thực hiện sau vụ hack, đó là một trong những lý do chính khiến chúng không hiệu quả.
Dựa trên hành vi của tin tặc, thời gian là một thành phần thiết yếu. Các biện pháp bảo mật có thể làm chậm hacker hoặc thông báo sớm cho nạn nhân là chìa khóa để chiến thắng trong trận chiến. Dưới đây là một số biện pháp phòng ngừa hiệu quả hơn mà OpenSea có thể thực hiện:
Một số biện pháp này có thể tạo ra báo động sai và sự bất tiện. Tuy nhiên, đây là một cuộc chạy đua về thời gian với tin tặc khi nói đến các biện pháp phòng ngừa, người dùng thà an toàn còn hơn phải xin lỗi để tránh trở thành nạn nhân tiếp theo.
Một quan niệm sai lầm phổ biến về việc hack tiền điện tử là “điều này sẽ không xảy ra với tôi vì nhận thức về bảo mật của tôi cao và tôi sử dụng ví cứng”. Có thể đúng là có thể tránh được một cuộc tấn công trực tiếp có ác ý thông qua thực hành bảo mật tốt, nhưng bất kỳ ai cũng có thể trở thành nạn nhân gián tiếp của một cuộc tấn công nhằm vào người khác. Khi số lượng hack tăng lên, cơ hội trở thành nạn nhân gián tiếp cũng cao hơn nhiều.
Một quan niệm sai lầm khác là, “miễn là tôi không giữ quá nhiều tiền trong ví nóng của mình, thì ví có bị xâm phạm hay không cũng không thành vấn đề.” Điều mà hầu hết người dùng không nhận ra là tổn thất tiền tệ chỉ là một hậu quả của vụ hack. Mất ví Web3 giống như bạn mất toàn bộ lịch sử tín dụng. Bất kỳ lợi ích nào trong tương lai dựa trên các hoạt động trong quá khứ chẳng hạn như airdrop hoặc quyền truy cập vào các khoản vay và đòn bẩy cũng có thể bốc hơi cùng với ví bị xâm phạm.
Mặc dù chuỗi khối là một trong những công nghệ tài chính an toàn nhất từng được tạo ra, nhưng các vụ hack độc hại đối với các nền tảng dựa trên tiền điện tử là mối đe dọa lớn nhất đối với liên doanh Web3.
Do tính chất không thể đảo ngược của blockchain và việc OpenSea thiếu các biện pháp bảo mật phòng ngừa, không khó để thấy giải pháp tốt nhất mà OpenSea đã đưa ra sauHack đấu giá tên miền Ethereum là cung cấp cho tin tặc 25% lợi nhuận từ việc bán hàng để đổi lấy việc trả lại các NFT bị đánh cắp. Chỉ trong thế giới của thị trường NFT, một tên tội phạm mới có thể được khen thưởng thay vì bị trừng phạt vì một tội ác nghiêm trọng như vậy.
Với tư cách là công ty độc quyền trên thị trường NFT, OpenSea chắc chắn có thể làm tốt hơn thế này và thực hiện các biện pháp bảo mật nghiêm túc hơn cũng như cung cấp nhiều biện pháp bảo vệ hơn cho người dùng của mình.
Các quan điểm và ý kiến bày tỏ ở đây chỉ là của tác giả và không nhất thiết phản ánh quan điểm của Cointelegraph.com. Mọi động thái đầu tư và giao dịch đều có rủi ro, bạn nên tiến hành nghiên cứu của riêng mình khi đưa ra quyết định.
Khám phá những bước tiên phong của Frame trong không gian NFT với sự ra mắt sắp tới của mạng chính dựa trên Ethereum L2 và airdrop token FRAME độc quyền. Tìm hiểu về hoạt động gây quỹ thành công, quan hệ đối tác chiến lược của Frame và cách nó tạo tiền đề cho một kỷ nguyên mới trong đổi mới NFT và sự tham gia của cộng đồng.
MiyukiKhám phá sự ra mắt đột phá của mã thông báo JUP của Jupiter trong hệ sinh thái Solana. Khám phá cách sự kiện quan trọng này, do người đồng sáng lập Meow công bố, nhằm cách mạng hóa tài chính phi tập trung bằng cách nâng cao hiệu quả giao dịch và mang lại cơ hội đầu tư mới.
AlexAnthony Scaramucci dự đoán Bitcoin có thể tăng lên 170.000 USD sau halving, trích dẫn các chu kỳ lịch sử và ước tính “thận trọng”. Nắm bắt được tiềm năng của Bitcoin, các nhà lãnh đạo trong ngành như Scaramucci và Larry Fink của BlackRock dự đoán về một tương lai đầy biến đổi, trong đó sự kiện halving tháng 4 năm 2024 đóng một vai trò quan trọng.
JoyKhám phá quá trình chuyển đổi chiến lược của Argent từ Kỷ nguyên zkSync sang Starknet, đi sâu vào dòng thời gian của những thay đổi, tác động đến người dùng và cam kết vững chắc về bảo mật. Tìm hiểu các bước chủ động để điều hướng giai đoạn biến đổi này và đảm bảo chuyển giao tài sản suôn sẻ với hướng dẫn toàn diện của chúng tôi
WeiliangOKX giải quyết sự biến động thị trường gần đây của OKB bằng kế hoạch bồi thường airdrop mang tính quyết định cho những người dùng bị ảnh hưởng. Khám phá các tiêu chí đủ điều kiện và cách OKX củng cố niềm tin của người dùng thông qua các biện pháp hỗ trợ và điều chỉnh quản lý rủi ro chiến lược.
MiyukiViệc khai thác 1 tỷ USD gần đây của Tether trên chuỗi khối Tron báo hiệu sự mở rộng mạnh mẽ, làm dấy lên các cuộc thảo luận về dự trữ chiến lược của nó để sử dụng trong tương lai. Giữa mức vốn hóa thị trường 96 tỷ USD, Tether phải đối mặt với những thách thức tiềm tàng từ các tổ chức tài chính truyền thống, với những bất ổn về quy định gắn liền với cuộc bầu cử tổng thống Hoa Kỳ năm 2024 sắp tới, tạo thêm một lớp phức tạp cho bối cảnh tiền điện tử.
JoyBanmeet Singh, một công dân Ấn Độ, đã nhận tội trong một vụ án ma túy trên web đen lịch sử, bị tịch thu 150 triệu đô la tiền điện tử. Phạm vi tiếp cận của hoạt động toàn cầu, được trình bày chi tiết trong các tài liệu của tòa án, nêu bật những thách thức trong việc chống lại các doanh nghiệp web đen, nhấn mạnh sự cần thiết phải tiếp tục hợp tác quốc tế trong việc bảo vệ sức khỏe và an ninh cộng đồng.
JoyKhám phá hard fork Hulunbeier biến đổi của mạng BNB Greenfield. Được lên lịch vào tháng 2 năm 2024, bản cập nhật này mang đến mô-đun cấp phép chuỗi chéo, các chức năng nâng cao của nhà cung cấp dịch vụ lưu trữ cũng như tăng cường khả năng phục hồi dữ liệu và hiệu suất Blocksyncer.
BrianKhám phá Mô hình định giá chuỗi của SKALE, một sự thay đổi chiến lược trong chuỗi bên Ethereum, nâng cao khả năng mở rộng và trải nghiệm người dùng. Tìm hiểu cách hệ thống định giá sáng tạo này mang lại lợi ích cho người xác thực, người đặt cược và toàn bộ Mạng SKALE, hứa hẹn một hệ sinh thái blockchain bền vững, lấy người dùng làm trung tâm.
WeiliangM. Shadows của Avenged Sevenfold chào tạm biệt Twitter/X với lý do thiếu sự quan tâm. Sự ra đi của anh ấy biểu thị sự chuyển đổi từ NFT và danh tính kỹ thuật số dễ nhận biết sang một không gian kỹ thuật số trừu tượng, chưa được khám phá, thúc giục những người theo dõi khám phá khả năng khám phá bản thân vô hạn.
Joy