Thị trường token không thể thay thế (NFT) đã bùng nổ kể từ mùa hè năm 2021 và khi giá NFT đang tăng vọt, số lượng hack nhắm mục tiêu NFT cũng ngày càng tăng.
Các hack cấu hình cao gần đây đã gọi điện khoảng 600 Ether giá trị của NFT từ Arthur0x, người sáng lập DeFiance Capital, và họ đã được bán ra trên OpenSea.
Một Báo cáo tội phạm tiền điện tử năm 2022 được công bố bởi Chainalysis nhấn mạnh rằng giá trị được gửi đến các thị trường NFT bằng các địa chỉ bất hợp pháp đã tăng đáng kể vào năm 2021, đứng đầu chỉ dưới 1.4 triệu đô la. Ngoài ra còn có sự gia tăng rõ ràng trong các quỹ bị đánh cắp được gửi đến các thị trường NFT.
Với sự gia tăng nhanh chóng liên quan đến giá trị bất hợp pháp chảy vào các nền tảng NFT, điều tự nhiên là hỏi liệu các biện pháp và thủ tục an ninh có được thực hiện hay không và nếu có, liệu các biện pháp này có hiệu quả trong việc bảo vệ chủ sở hữu hay không.
Chúng ta hãy xem OpenSea, nền tảng NFT lớn nhất và các biện pháp bảo mật của nó.
Các biện pháp bảo mật tại OpenSea không thể bảo vệ người dùng
OpenSea có hai biện pháp bảo mật chính bắt đầu khi một tài khoản đã bị “hack” – khóa tài khoản bị xâm phạm và chặn các NFT bị đánh cắp. Hai biện pháp này rất không hiệu quả khi nhìn kỹ chúng.
Khóa tài khoản có thể được thực hiện trên trang web OpenSea như được hiển thị ở đây mà không có sự chấp thuận của con người; trong khi chặn các NFT liên quan đến một quá trình kéo dài nâng vé và chờ đợi Nhóm trợ giúp OpenSea để đáp ứng.
Trong một tình huống khi một hacker đã xâm nhập vào ví và đang trong quá trình chuyển NFT ra, khóa tài khoản sẽ chỉ có hiệu lực nếu nó được thực hiện đủ nhanh trước khi hacker chuyển mọi thứ ra ngoài.
Tương tự, việc chặn các NFT cũng chỉ có hiệu quả trước khi các NFT được hacker bán cho người mua khác. Điều tồi tệ hơn nữa là biện pháp bảo mật này tạo ra một loạt các nạn nhân gián tiếp kết thúc với các NFT bị chặn không thể bán hoặc chuyển giao. Điều này là do thời gian phản hồi cho vé được nâng lên ở OpenSea ít nhất là 1 ngày. Vào thời điểm các NFT bị OpenSea chặn, họ sẽ được bán cho một người mua khác, người bây giờ trở thành nạn nhân mới của tội phạm.
In the case of the 17 stolen Azuki from Arthur0x, 15 of them were stolen within the same minute and 2 of them were stolen 3 minutes afterwards. The average time these stolen NFTs stayed in the hackers wallet before they were sold is 43 minutes. The security measures from OpenSea are in no way responsive and quick enough to inform the victim and stop the hacker; neither can they inform the buyers promptly enough to stop them from buying the stolen NFTs and becoming the indirect victim.
Chặn NFT bị đánh cắp tạo ra nạn nhân gián tiếp
An indirect victim is someone who is not the target of the hack but indirectly suffers from the financial losses caused by the blocking of the stolen NFTs. As seen from many recent NFT hacks, the NFTs are always sold before the block is implemented by OpenSea. The consequence of blocking the NFTs too late is that it creates indirect victims and more losses for more people.
Để minh họa chi tiết hơn về cách bất kỳ ai cũng có thể mua một NFT bị đánh cắp và trở thành nạn nhân gián tiếp của một vụ hack, đây là ba trường hợp phổ biến:
Case 1: Alice bought an NFT but only found out later that it is a stolen asset. The NFT is blocked and Alice cannot sell or transfer it on OpenSea. She then proceeds to raise a support ticket. After several weeks, the OpenSea Trust & Safety team offers to refund the 2.5% platform fees; and possibly the email address of the victim who reported the theft if lucky. Then she’ll likely have a lengthy discussion with the victim to negotiate the possibility of lifting the block, which most likely will end up nowhere.
Alice vẫn có thể bán NFT ở các thị trường khác nhưng khối lượng bán hàng rất thấp cho bộ sưu tập cụ thể này và không có người mua nào có thể cung cấp một mức giá hợp lý trên các nền tảng khác ngoài OpenSea.
Trườnghợp 2: Alice đã đưa ra nhiều đề nghị để đặt giá thầu NFT từ một bộ sưu tập. Một trong những ưu đãi đã được tin tặc chấp nhận, người sau đó nhận được khoản thanh toán từ giá thầu trong ví của nạn nhân và tiến hành xóa ví. NFT đã bị chặn sau đó như một phần của tài sản bị đánh cắp từ các giao dịch trái phép bởi nạn nhân.
Cases like this often happen because listed NFTs cannot be transferred unless the listing is cancelled. The hacker, who is under time pressure, will be more likely to accept a bid offer and get the proceeds from the sale and transfer the money out. The case below shows how the indirect victim’s entire NFT collection was blocked by OpenSea without explanation.
Đây là chủ đề của tôi về cách @opensea vô lý chặn tài khoản của tôi và đóng băng tất cả các NFT của tôi sau khi đề nghị của tôi 40 weth cho @BoredApeYC#6267 đã được chấp nhận.
Tôinghĩ rằng điều rất quan trọng là phải truyền bá trường hợp này trong cộng đồng NFT!
Case 3: Alice has owned an NFT for quite some time and suddenly it is blocked and marked as “reported for suspicious activity”. The seller’s account is not compromised and the transaction happened a while ago. Since there is no evidence required to report a stolen NFT and block it, anyone can send an email to OpenSea’s anti-fraud team to block any NFT.
Although a police report can be requested later on, there is neither a clear statement by OpenSea to specify the evidence needed to prove the hack nor a condition under which a falsely reported stolen NFT can be identified and lifted from the block. There is no consequence for falsely reporting stolen NFTs.
NFTs are often blocked with no explanation or evidence such as police reports provided to the indirect victim. Theoretically these NFTs can still be traded on other platforms, but given OpenSea’s monopoly in the marketplace with 95% of the total NFT trading volumes, blocking any NFT on OpenSea is almost equivalent to taking them out of the market forever.
Chặn NFT có thể làm tăng giá một cách giả tạo
The danger of blocking stolen NFTs from trading on the largest NFT platform OpenSea is the permanent reduction in supply. Based on the law of supply and demand in economics theory, when supply goes down, price goes up.
As an example, the Azuki collection has 10,000 NFTs and currently only 1,100 are on sale on OpenSea. The Arthur0x hack results in 17 of them being stolen and blocked. Although 17 NFTs are only around 1.5% of the 1,100 circulating supply, the price has already shown a trend of increasing after the hack. The hack happened on Mar. 22 and the price peaked on Mar. 28 to 20.96 Ether prior to the airdrop announcement on March 31 — a 55% increase within a week.
Although not all of the 17 stolen NFTs are blocked as Arthur managed to recover some through negotiating with the indirect victims to buy them back, future hacks in similar form will continuously happen and cumulatively the number of blocked NFTs can only increase as hacks continue and no procedures are in place to unblock them.
Using Azuki as an example again, the graph below collects the historic number of sales and average price to create a demand curve and assumes the supply curve is linear. The point where the supply and demand curves intersect is the equilibrium price.
As supply continuously decreases, the speed of increase in price becomes faster as the slope of the demand curve gets steeper. An equal decrease of 300 NFTs in supply from 1,000 to 700 versus from 700 to 400 results in a larger price increase for the latter.
As shown in the graph below, the price increases from 15 ETH to 21 ETH from the 1,000 to 700 reduction, but increases more from 21 ETH to 28 ETH from the 700 to 400 reduction.
It is clear to see that blocking the stolen NFTs could artificially increase the price of the collection. If someone wanted to take advantage of the loophole in the OpenSea security system by falsely reporting many NFTs from the same collection as stolen (since no evidence is required to report stolen NFTs), the price of the collection could dramatically increase if the supply is low. This loophole could create opportunities for price manipulation in the illiquid NFT market.
In any case, blocking NFTs is not an effective measure to stop the hack or punish the hacker, but on the contrary creates more indirect victims and loopholes for market manipulators. This is certainly not the way to go, so is there any effective security measure?
Preventive measures and an evidence based system need to be in place
The current OpenSea security system has no preventive measures in place to protect users in advance. All the safety measures are only implemented after the hack, which is one of the main reasons why they are ineffective.
Based on the behaviours of the hackers, time is an essential component. Security measures that can slow down the hacker or inform the victims early are the keys to win the battle. Here are some more effective preventive measures that can be implemented by OpenSea:
- Create an early warning system that can detect abnormal account activity and send instant text messages or email alerts to inform users of such activity so they have enough time to respond. For example, if the account has never bought or transferred more than one NFT within one minute; or if the account has never had any activities in the past during a specific time period (i.e. time zones when the user is asleep), the occurrence of such activities will be detected by machine learning algorithms. The account holder can choose to be informed immediately, or allow the account to be automatically locked for safety.
- Provide users the options to constrain the maximum number of NFT transfers or sales allowed within a timeframe, i.e. maximum one transfer or sale within one minute; or a minimum time interval imposed between each transfer or sale, i.e. the next transfer or sale can only happen 15 minutes after the previous one. These measures can prevent hackers from stealing a large number of NFTs in one go.
- Create suspicious account dashboards that allow victims to instantaneously add compromised accounts and hacker’s accounts for public scrutiny. This will give all buyers real-time information about suspicious accounts and the ability to cross check if the seller is on the list before they buy. Evidence such as a police report can be requested later on from the victim to prove the reported accounts are indeed compromised.
Some of these measures might create false alarms and inconvenience. But given it is a race of time against the hacker when it comes to preventive measures, users would rather be safe than sorry to avoid becoming the next victim.
Common misconceptions about crypto hacking
A common misconception about crypto hacking is that “this won’t happen to me because my security awareness is high and I use a hard wallet”. It might be true that a direct malicious hack could be avoided through good security practice, but anyone could become an indirect victim of a hack targeting someone else. When the number of hacks increases, the chance of becoming an indirect victim is also much higher.
Another misconception is “as long as I don’t keep too much money in my hot wallet, it doesn’t matter if the wallet is compromised”. What most of the users fail to realise is that monetary loss is only one part of the repercussion from the hack. Losing a web3 wallet is like losing the entire credit history. Any future benefits based on past activities such as airdrops or access to loans and leverage could also evaporate with the compromised wallet.
Although blockchain is one of the most secure financial technologies ever created, malicious hacks toward crypto-based platforms are the greatest threat to the Web3 venture.
Given blockchain’s irreversible nature and OpenSea’s lack of preventive security measures, it is not hard to see the best solution OpenSea came up with after the Ethereum domain auction hack is to offer the hacker a 25% profit from the sale in exchange for the return of the stolen NFTs. Only in the world of the NFT market can a criminal get rewarded rather than punished for such a serious crime.
As the monopoly of the NFT market, OpenSea can certainly do better than this and take security measures more seriously and provide more protection to its users.
The views and opinions expressed here are solely those of the author and do not necessarily reflect the views of Cointelegraph.com. Every investment and trading move involves risk, you should conduct your own research when making a decision.
