儘管數字資產行業持續動盪,但不可替代的代幣(NFT) 市場無疑是繼續蓬勃發展的一個利基市場。越來越多的主流推動者和震動者,包括可口可樂、阿迪達斯、紐約證券交易所(NYSE) 和麥當勞等,已進入蓬勃發展的元界生態系統,這一事實就證明了這一點最近幾個月。
此外,由於僅在2021 年期間,全球NFT 銷售額 頂 400 億美元,許多分析師預計這種趨勢將持續到未來。例如,美國投資銀行Jefferies 最近 提高 其對NFT 行業的市值預測到2022 年將超過350 億美元,到2025 年將超過800 億美元——這一預測也得到了摩根大通的響應。
然而,與任何以如此指數速度增長的市場一樣,與安全相關的問題也必須預料到。在這方面,著名的不可替代令牌(NFT) 市場OpenSea 最近成為網絡釣魚攻擊的受害者 這發生在該平台宣佈為期一周的計劃升級以移除所有非活動NFT 的幾個小時後。
深入研究此事
2 月18 日,OpenSea 透露將啟動智能合約升級,要求其所有用戶將其列出的NFT 從以太坊區塊鏈轉移到新的智能合約。由於升級,未能促進上述遷移的用戶面臨丟失舊的和非活動列表的風險。
也就是說,由於OpenSea 提供的遷移截止日期較短,黑客們獲得了一個強大的機會之窗。在公告發布後的幾個小時內,據透露,邪惡的第三方個人發起了一場複雜的網絡釣魚活動,從存儲在平台上的許多用戶那裡竊取NFT,然後才能遷移到新的智能合約。
我們正在積極調查與OpenSea 相關的智能合約相關的漏洞利用的傳聞。這似乎是源自OpenSea 網站之外的網絡釣魚攻擊。不要點擊外部鏈接 https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) 2022 年2 月20 日
GameFi 生態系統區塊鏈Bluezelle 的首席技術官兼聯合創始人Neeraj Murarka 對此事進行了技術分析,他告訴Cointelegraph,在事件發生時,OpenSea 正在使用一個名為Wyvern 的協議,這是一個標準技術模塊大多數NFT 網絡應用程序都在使用它,因為它允許在用戶錢包中管理、存儲和轉移這些代幣。
由於與Wyvern 的智能合約允許用戶使用存儲在其“錢包”中的NFT,黑客能夠偽裝成平台代表向Opensea 客戶發送電子郵件,鼓勵他們簽署“盲目”交易。穆拉卡進一步補充說:
“打個比方,這就像簽署一張空白支票。 通常,如果收款人是預期的收款人,這是可以的。 請記住,電子郵件可以由任何人發送,但看起來像是由其他人發送的。 在這種情況下,收款人似乎是一個黑客,他能夠使用這些簽名交易轉出並有效地從這些用戶那裡竊取NFT。”
此外,在一個有趣的事件中,在事件發生後,黑客顯然 回來 一些被盜的NFT 歸其合法所有者,並正在進一步努力 歸還其他丟失的資產. Web3 內容創建平台Creaton 的創始人亞歷山大·克魯斯(Alexander Klus)提供了他對整個事件的看法,他告訴Cointelegraph,網絡釣魚電子郵件活動使用惡意簽名交易來批准所有資產,以便能夠隨時耗盡。 “我們需要更好的簽名標準(EIP-712),這樣人們才能在批准交易時真正看到他們在做什麼。”
最後,區塊鏈軟件公司Jelurida 的聯合創始人兼董事Lior Yaffe 指出,這一事件是圍繞OpenSea 計劃不周的智能合約升級以及平台的交易批准架構造成的混亂的直接結果。
NFT 市場需要加強他們的安全遊戲
在Murarka 看來,使用Wyvern 智能合約系統的網絡應用程序應該通過可用性改進來增強,以確保用戶不會一次又一次地陷入此類網絡釣魚攻擊,並補充說:
“應該發出非常明確的警告,讓用戶了解網絡釣魚攻擊,並讓他們知道永遠不會發送電子郵件這一事實,並要求用戶採取任何措施。 像OpenSea 這樣的網絡應用程序應該採用嚴格的協議,除了註冊數據之外,永遠不要通過電子郵件與用戶交流。”
話雖如此,他確實承認,即使OpenSea 採用最安全的安全/隱私協議和標準,用戶仍需自行了解這些風險。 “不幸的是,網絡應用程序本身經常被追究責任,即使是用戶被釣魚。 誰是負責的人? 答案尚不清楚,”他指出。
去中心化區塊鏈生態系統ParallelChain Lab 的參謀長Jessie Chan 也有類似的看法,她告訴Cointelegraph,無論整個攻擊是如何策劃的,這個問題並不完全取決於OpenSea 現有的安全協議,還取決於用戶對攻擊的意識。網絡釣魚。問題仍然是市場運營商是否應該能夠向其用戶提供足夠的信息,以使他們了解如何處理此類情況。
減輕任何潛在網絡釣魚事件的另一種可能性是通過使用專用的移動/桌面界面來驅動用戶與其Web 應用程序之間的所有交互。 “如果所有交互都需要使用桌面應用程序,則可以完全繞過此類攻擊。”
Yaffe 在談到這個問題時指出,主要問題——這是整個問題的核心——是大多數NFT 市場的基本架構,使用戶能夠簡單地簽署全權委託批准第三方合同使用他們的私人錢包沒有設置消費限額:
“由於OpenSea 團隊並沒有真正弄清楚網絡釣魚操作的來源,所以下次他們嘗試改變他們的架構時,它可能會再次發生。”
可以做什麼?
Murarka 指出,消除這些攻擊可能性的最佳方法是人們開始使用硬件錢包。這是因為大多數軟件錢包以及其他託管存儲解決方案在其總體設計和運營前景方面都過於脆弱。他進一步闡述:“就像比特幣、以太坊等一樣,NFT 本身應該被轉移到硬件錢包賬戶,而不是把它們留在中心化平台上,”並補充道:
“用戶需要非常清楚回復和處理他們收到的電子郵件的風險。 電子郵件很容易被偽造,用戶需要積極主動地保護其加密資產的安全。”
NFT 所有者需要記住的另一件事是,他們應該只訪問採用高質量安全協議的Web 應用程序,檢查訪問的市場是否使用了HTTPS 機制(至少),同時能夠清楚地看到在訪問任何網頁時,他們的瀏覽器窗口的左上角(正確指向目標公司)。
Yaffe 認為,用戶應該小心合同批准,並準確跟踪他們過去批准的合同。 “用戶應該撤銷不必要或不安全的批准。 如果可能的話,用戶應該為每個合同批准指定一個合理的支出限額,”他總結道。
有關的: Cointelegraph 與Nitro Network 合作,將數字採礦和去中心化互聯網帶給大眾
最後,Chan 認為,在理想情況下,用戶應該將錢包存放在他們不用於閱讀電子郵件或瀏覽網頁的專用平台上,並補充說任何此類途徑都受到各種第三方攻擊。他進一步表示:
“這很不方便,但是在處理價值巨大的資產並且在發生盜竊時沒有追索權的情況下,非常小心是有道理的。 而且,與所有金融交易一樣,他們在決定與誰打交道時應該非常小心,因為交易對手也可以竊取你的資產並消失。”
因此,在進入由NFT 和其他類似新型數字產品驅動的未來的同時,在這一領域運行的平台如何繼續發展和成熟仍有待觀察,尤其是隨著越來越多的資本不斷進入NFT 市場。