Connect with us

crypto

Скандал с фишингом в OpenSea свидетельствует о необходимости обеспечения безопасности в среде NFT

Published

on

Fishing into opensea

Последняя уязвимость OpenSea ставит более широкий и глубокий вопрос, касающийся существующей инфраструктуры безопасности глобальной экосистемы NFT.

В связи с тем, что только в течение 2021 года глобальные продажи NFT превысили 40 миллиардов долларов, многие аналитики ожидают, что эта тенденция сохранится и в будущем. Например, американский инвестиционный банк Jefferies недавно повысил свой прогноз рыночной капитализации для сектора NFT до более чем 35 миллиардов долларов на 2022 год и до более чем 80 миллиардов долларов на 2025 год — прогноз, который также поддержал JP Morgan.

Однако, как и на любом рынке, растущем такими экспоненциальными темпами, также следует ожидать проблем, связанных с безопасностью. В связи с этим известный рынок невзаимозаменяемых токенов (NFT) OpenSea недавно стал жертвой фишинговой атаки , которая произошла всего через несколько часов после того, как платформа объявила о запланированном на неделю обновлении для исключения из списка всех неактивных NFT.

Погружение в дело

18 февраля OpenSea сообщила, что собирается инициировать обновление смарт-контракта, требуя от всех своих пользователей переноса своих перечисленных NFT из блокчейна Ethereum в новый смарт-контракт. В связи с обновлением пользователи, которые не смогли выполнить вышеуказанную миграцию, рискуют потерять свои старые и неактивные списки.

Тем не менее, из-за небольшого срока миграции, предоставленного OpenSea, хакерам представилось мощное окно возможностей. В течение нескольких часов после объявления выяснилось, что гнусные сторонние лица инициировали изощренную фишинговую кампанию, похищая NFT у многих пользователей, которые хранились на платформе, прежде чем их можно было перенести на новый смарт-контракт.

Мы активно расследуем слухи об эксплойте, связанном со смарт-контрактами OpenSea. Похоже, это фишинговая атака, исходящая не от веб-сайта OpenSea. Не нажимайте ссылки за пределами.— OpenSea (@opensea) 20 февраля 2022 г.

@opensea

Предоставляя техническую информацию по этому вопросу, Нирадж Мурарка, главный технический директор и соучредитель Bluezelle, блокчейна для экосистемы GameFi, сообщил Cointelegraph, что во время инцидента OpenSea использовала протокол под названием Wyvern, стандартный технический модуль, который большинство веб-приложений NFT используют его, поскольку он позволяет управлять, хранить и передавать эти токены в кошельках пользователей.

Поскольку смарт-контракт с Wyvern позволял пользователям работать с NFT, хранящимися в их «кошельках», хакер мог рассылать электронные письма клиентам OpenSea, маскируясь под представителя платформы, побуждая их подписывать «слепые» транзакции. Далее Мурарка добавил:

«Метафорически это было похоже на подписание чека-бланша. Обычно это нормально, если получатель платежа является предполагаемым получателем. Имейте в виду, что электронное письмо может быть отправлено кем угодно, но оно будет выглядеть как отправленное кем-то другим. В этом случае получателем платежа является один хакер, который смог использовать эти подписанные транзакции для передачи и кражи NFT у этих пользователей».

Нирадж Мурарка

Кроме того, по интересному повороту событий после инцидента хакер, по-видимому, вернул часть украденных NFT их законным владельцам, при этом были предприняты дальнейшие усилия по возврату других потерянных активов . Предоставив свое мнение по этому вопросу, Александр Клус, основатель Creaton, платформы для создания контента Web3, сообщил Cointelegraph, что фишинговая кампания по электронной почте использовала вредоносную транзакцию подписи, чтобы утвердить все активы, чтобы их можно было слить в любое время. «Нам нужны лучшие стандарты подписи (EIP-712), чтобы люди могли видеть, что они делают, одобряя транзакцию».

Give me your NFT , NOW!!!

Наконец, Лиор Яффе, соучредитель и директор Jelurida, компании-разработчика программного обеспечения для блокчейна, указал, что этот эпизод был прямым результатом путаницы, связанной с плохо спланированным обновлением смарт-контрактов OpenSea, а также с архитектурой утверждения транзакций платформы.

Торговые площадки NFT должны активизировать свою игру в области безопасности

По мнению Мурарки, веб-приложения, использующие систему смарт-контрактов Wyvern, должны быть дополнены улучшениями удобства использования, чтобы пользователи не попадались на такие фишинговые атаки снова и снова, добавляя:

«Необходимо сделать очень четкие предупреждения, чтобы информировать пользователя о фишинговых атаках и убедить его в том, что электронные письма никогда не будут отправлены, призывая пользователя предпринять какие-либо шаги. Веб-приложения, такие как OpenSea, должны использовать строгий протокол, чтобы никогда не общаться с пользователями по электронной почте, за исключением, может быть, только регистрационных данных».

Нирадж Мурарка

Тем не менее, он признал, что даже если OpenSea примет самые безопасные протоколы и стандарты безопасности/конфиденциальности, ее пользователи все равно должны узнать об этих рисках. «К сожалению, ответственность часто возлагается на само веб-приложение, даже если фишингу подвергся пользователь. Кто ответственный? Ответ не ясен», — отметил он.

Аналогичное мнение разделяет Джесси Чан, руководитель персонала ParallelChain Lab, децентрализованной блокчейн-экосистемы, которая сказала Cointelegraph, что независимо от того, как была организована вся атака, проблема не полностью зависит от существующих протоколов безопасности OpenSea, но также и от осведомленности пользователей. против фишинга. Остается вопрос, должен ли оператор торговой площадки предоставлять своим пользователям достаточную информацию, чтобы держать их в курсе того, как действовать в таких сценариях.

Еще одна возможность смягчить любые потенциальные фишинговые события — организовать все взаимодействия между пользователями и их веб-приложениями исключительно через использование специального мобильного/настольного интерфейса. «Если бы для всех взаимодействий требовалось использование настольного приложения, такие атаки можно было бы полностью обойти».

Предлагая свое мнение по этому вопросу, Яффе отметил, что основная проблема, которая лежит в основе всего этого вопроса, заключается в базовой архитектуре большинства торговых площадок NFT, позволяющей пользователям просто подписать карт-бланш для утверждения контракта с третьей стороной на использование. свой личный кошелек без установки лимита расходов:

«Поскольку команда OpenSea на самом деле не выяснила источник фишинговой операции, это может произойти снова в следующий раз, когда они попытаются внести изменения в свою архитектуру».

Что может быть сделано?

Мурарка отметил, что лучший способ исключить возможность этих атак — начать использовать аппаратные кошельки. Это связано с тем, что большинство программных кошельков, а также другие решения для кастодиального хранения слишком уязвимы по своей общей конструкции и перспективам эксплуатации. Далее он уточнил: «Как и Биткойн, Эфириум и т. д., сами NFT должны быть перемещены в учетные записи аппаратного кошелька, а не оставлены на централизованной платформе», добавив:

«Пользователи должны быть очень осведомлены о рисках, связанных с ответами на электронные письма, которые они получают. Электронные письма можно очень легко подделать, и пользователи должны проявлять инициативу в отношении безопасности своих криптоактивов».

Еще одна вещь, о которой должны помнить владельцы NFT, заключается в том, что они должны посещать только веб-приложения, использующие высококачественные протоколы безопасности, проверяя, что на торговых площадках, к которым осуществляется доступ, используется механизм HTTPS (по крайней мере), при этом они могут четко видеть символ блокировки на в левом верхнем углу окна браузера, которое правильно указывает на предполагаемую компанию, при посещении любой веб-страницы.

Яффе считает, что пользователи должны быть осторожны с утверждением контрактов и точно отслеживать контракты, которые они одобрили в прошлом. «Пользователи должны отозвать ненужные или небезопасные разрешения. По возможности пользователи должны указывать разумный лимит расходов для каждого утверждения контракта», — заключает он.

Связанный:  Cointelegraph сотрудничает с Nitro Network, чтобы донести до масс цифровой майнинг и децентрализованный интернет

Наконец, Чан считает, что в идеальном сценарии пользователи должны хранить свои кошельки на выделенной платформе, которую они не используют для чтения электронной почты или просмотра веб-страниц, добавляя, что любые такие возможности подвергаются всевозможным атакам третьих лиц. Далее она заявила:

«Это неудобно, но при работе с ценными активами и там, где нет возможности обратиться за помощью в случае кражи, крайняя осторожность оправдана. И, как и во всех финансовых транзакциях, они должны быть очень осторожны при принятии решения, с кем иметь дело, поскольку контрагенты также могут украсть ваши активы и исчезнуть».

Поэтому, двигаясь в будущее, движимое NFT и другими подобными новыми цифровыми предложениями, еще предстоит увидеть, как платформы, работающие в этом пространстве, продолжают развиваться и развиваться, особенно по мере того, как растущий объем капитала продолжает проникать на рынок NFT.

Не Автор (Cointelegraph)

congratoola

Письмо Любви

Published

on

By

Continue Reading

russy_wagon

HIPSA-Book

Published

on

By

Continue Reading

art drop by mim

Kawswiw by Мышкаворtwo

Published

on

By

Continue Reading
Advertisement

Trending

  • bitcoinBitcoin (BTC) $ 69,499.00
  • ethereumEthereum (ETH) $ 2,484.47
  • tetherTether (USDT) $ 0.999182
  • bnbBNB (BNB) $ 567.84
  • solanaSolana (SOL) $ 165.01
  • usd-coinUSDC (USDC) $ 0.999592
  • dogecoinDogecoin (DOGE) $ 0.157390
  • tronTRON (TRX) $ 0.166530
  • cardanoCardano (ADA) $ 0.353248
  • the-open-networkToncoin (TON) $ 4.90
  • shiba-inuShiba Inu (SHIB) $ 0.000017
  • aptosAptos (APT) $ 8.63
  • pepePepe (PEPE) $ 0.000009

The Author of your ideas was here! :)