Mặc dù sự biến động đang diễn ra gây cản trở lĩnh vực tài sản kỹ thuật số, một thị trường ngách chắc chắn vẫn tiếp tục phát triển mạnh là thị trường token không thể thay thế (NFT). Điều này được thể hiện rõ bởi thực tế là một số lượng ngày càng tăng của động cơ và máy lắc chính bao gồm cả Coca-Cola, Adidas, Sở giao dịch chứng khoán New York (NYSE) và McDonalds, trong số nhiều người khác, đã đi vào hệ sinh thái Metaverse đang phát triển trong những tháng gần đây.
Ngoài ra, do thực tế là chỉ trong suốt năm 2021, doanh số NFT toàn cầu đứng đầu ra ở mức $ 40 tỷ, nhiều nhà phân tích kỳ vọng xu hướng này sẽ tiếp tục trong tương lai. Ví dụ, ngân hàng đầu tư Mỹ Jefferies gần đây đã nâng dự báo vốn hóa thị trường cho lĩnh vực NFT lên hơn 35 tỷ đô la cho năm 2022 và hơn 80 tỷ đô la cho năm 2025 – một dự báo cũng được lặp lại bởi JP Morgan.
Tuy nhiên, như với bất kỳ thị trường phát triển ở tốc độ cấp số nhân như vậy, các vấn đề liên quan đến bảo mật cũng phải được mong đợi. Về vấn đề này, thị trường token nonfungible (NFT) nổi bật OpenSea gần đây đã trở thành nạn nhân của một cuộc tấn công lừa đảo diễn ra chỉ vài giờ sau khi nền tảng công bố nâng cấp kế hoạch kéo dài một tuần để hủy liệt kê tất cả các NFT không hoạt động.
Lặn vào vấn đề
Vào ngày 18 tháng 2, OpenSea tiết lộ rằng họ sẽ bắt đầu nâng cấp hợp đồng thông minh, yêu cầu tất cả người dùng chuyển các NFT được liệt kê của họ từ blockchain Ethereum sang hợp đồng thông minh mới. Do nâng cấp, người dùng không tạo điều kiện thuận lợi cho việc di chuyển nói trên có nguy cơ mất danh sách cũ và không hoạt động của họ.
Điều đó nói rằng, do thời hạn di cư nhỏ do OpenSea cung cấp, tin tặc đã được trình bày với một cửa sổ cơ hội mạnh mẽ. Trong vài giờ kể từ khi thông báo, nó đã được tiết lộ rằng các cá nhân bên thứ ba bất chính đã khởi xướng một chiến dịch lừa đảo tinh vi, đánh cắp NFT từ nhiều người dùng được lưu trữ trên nền tảng trước khi chúng có thể được di chuyển sang hợp đồng thông minh mới.
Chúng tôi đang tích cực điều tra tin đồn về một khai thác liên quan đến các hợp đồng thông minh liên quan đến OpenSea. Đây dường như là một cuộc tấn công lừa đảo có nguồn gốc bên ngoài trang web của OpenSea. Không nhấp vào liên kết bên ngoài https://t.co/3qvMZjxmDB.
-OpenSea (@opensea) Tháng Hai 20, 2022
Cung cấp một phân tích kỹ thuật về vấn đề này, Neeraj Murarka, giám đốc kỹ thuật và đồng sáng lập của Bluezelle, một blockchain cho hệ sinh thái GameFi, nói với Cointelegraph rằng tại thời điểm xảy ra sự cố, OpenSea đã sử dụng một giao thức có tên Wyvern, một mô-đun công nghệ tiêu chuẩn mà hầu hết web NFT ứng dụng sử dụng vì nó cho phép quản lý, lưu trữ và chuyển các mã thông báo này trong ví của người dùng.
Bởi vì hợp đồng thông minh với Wyvern cho phép người dùng làm việc với các NFT được lưu trữ trong “ví” của họ, hacker đã có thể gửi email cho các khách hàng Opensea giả trang làm đại diện cho nền tảng, khuyến khích họ ký các giao dịch “mù”. Murarka thêm:
“ Ẩn dụ, điều này giống như ký một tấm séc trống. Thông thường, điều này là ổn nếu người nhận được tiền là người nhận dự định. Hãy nhớ rằng một email có thể được gửi bởi bất kỳ ai, nhưng được thực hiện để xuất hiện để được gửi bởi người khác. Trong trường hợp này, người được trả tiền dường như là một hacker duy nhất có thể sử dụng các giao dịch đã ký này để chuyển ra và đánh cắp hiệu quả các NFT từ những người dùng này.”
Ngoài ra, trong một sự kiện thú vị, sau sự cố, hacker dường như đã trả lại một số NFT bị đánh cắp cho chủ sở hữu hợp pháp của họ, với những nỗ lực hơn nữa được thực hiện để trả lại các tài sản bị mất khác. Cung cấp khả năng đảm nhận toàn bộ vấn đề, Alexander Klus, người sáng lập Creaton, một nền tảng tạo nội dung Web3, nói với Cointelegraph rằng chiến dịch email lừa đảo đã sử dụng một giao dịch ký độc hại để phê duyệt tất cả các nắm giữ để có thể bị cạn kiệt bất cứ lúc nào. “Chúng tôi cần các tiêu chuẩn ký kết tốt hơn (EIP-712) để mọi người thực sự có thể thấy những gì họ đang làm khi phê duyệt một giao dịch.
Cuối cùng, Lior Yaffe, đồng sáng lập và giám đốc của Jelurida, một công ty phần mềm blockchain, chỉ ra rằng tập phim là kết quả trực tiếp của sự nhầm lẫn xung quanh việc nâng cấp hợp đồng thông minh được lên kế hoạch kém của OpenSea, cũng như kiến trúc phê duyệt giao dịch của nền tảng.
Thị trường NFT cần phải đẩy mạnh trò chơi bảo mật của họ
Theo quan điểm của Murarka, các ứng dụng web sử dụng hệ thống hợp đồng thông minh Wyvern nên được tăng cường với các cải tiến khả năng sử dụng để đảm bảo rằng người dùng không rơi vào các cuộc tấn công lừa đảo như vậy hết lần này đến lần khác, thêm:
“ Các cảnh báo rất rõ ràng nên được thực hiện để giáo dục người dùng về các cuộc tấn công lừa đảo và lái xe về nhà thực tế là email sẽ không bao giờ được gửi, mời người dùng thực hiện bất kỳ bước nào. Các ứng dụng web như OpenSea nên áp dụng một giao thức nghiêm ngặt để không bao giờ giao tiếp với người dùng qua email ngoài có thể chỉ là dữ liệu đăng ký.”
Điều đó nói rằng, ông đã thừa nhận rằng ngay cả khi OpenSea áp dụng các quy trình và tiêu chuẩn bảo mật/bảo mật an toàn nhất, người dùng vẫn phải tự giáo dục về những rủi ro này. “Thật không may, bản thân ứng dụng web thường chịu trách nhiệm, mặc dù đó là người dùng đã bị lừa đảo. Ai chịu trách nhiệm? Câu trả lời là không rõ ràng,” ông lưu ý.
Một tình cảm tương tự được chia sẻ bởi Jessie Chan, tổng giám đốc của ParallelChain Lab, một hệ sinh thái blockchain phi tập trung, người nói với Cointelegraph rằng bất kể toàn bộ cuộc tấn công được dàn xếp như thế nào, vấn đề không hoàn toàn phụ thuộc vào các giao thức bảo mật hiện có của OpenSea mà còn trên người dùng nhận thức against chống lại phishing lừa đảo. Câu hỏi vẫn là liệu nhà điều hành thị trường có nên có thể cung cấp đầy đủ thông tin cho người dùng của mình để thông báo cho họ về cách đối phó với các tình huống như vậy.
Một khả năng khác để giảm thiểu bất kỳ sự kiện lừa đảo tiềm năng nào là có tất cả các tương tác giữa người dùng và các ứng dụng web của họ chỉ được thúc đẩy thông qua việc sử dụng giao diện di động/máy tính để bàn chuyên dụng. “Nếu tất cả các tương tác yêu cầu sử dụng một ứng dụng máy tính để bàn, các cuộc tấn công như vậy có thể được bỏ qua hoàn toàn.”
Cung cấp đề tài này, Yaffe lưu ý rằng vấn đề chính – nằm ở trung tâm của toàn bộ vấn đề này – là kiến trúc cơ bản của hầu hết các thị trường NFT, cho phép người dùng chỉ cần ký một sự chấp thuận carte blanche cho một hợp đồng của bên thứ ba sử dụng ví riêng của họ mà không cần thiết lập giới hạn chi tiêu:
“ Vì nhóm OpenSea không thực sự tìm ra nguồn gốc của hoạt động lừa đảo, điều đó cũng có thể xảy ra lần sau khi họ cố gắng thay đổi kiến trúc của họ.”
Những gì có thể được thực hiện?
Murarka lưu ý rằng cách tốt nhất để loại bỏ khả năng của các cuộc tấn công này là nếu mọi người bắt đầu sử dụng ví phần cứng. Điều này là do hầu hết các ví phần mềm cũng như các giải pháp lưu trữ lưu trữ giám hộ khác quá dễ bị tổn thương trong thiết kế chung và triển vọng hoạt động của chúng. Ông tiếp tục xây dựng: “Giống như Bitcoin, Ethereum, v.v., bản thân NFT nên được chuyển sang tài khoản ví phần cứng thay vì để chúng trên một nền tảng tập trung”, nói thêm:
“ Người dùng cần phải nhận thức được những rủi ro khi trả lời và hành động theo email mà họ nhận được. Email có thể bị giả mạo rất dễ dàng và người dùng cần chủ động về sự an toàn của tài sản tiền điện tử của họ.”
Another thing NFT owners need to remember is that they should only be visiting web apps that employ high-quality security protocols, checking that the accessed marketplaces utilize the HTTPS mechanism (at the very least) while being able to clearly see a lock symbol on the top left of their browser window — which correctly points to the intended company — while visiting any webpage.
Yaffe believes that users should be careful with contract approvals and keep an accurate track of the contracts they have greenlighted in the past. “Users should revoke unnecessary or unsafe approvals. If possible users should specify a reasonable spending limit for every contract approval,” he concludes.
Lastly, Chan believes that in an ideal scenario, users should keep their wallets on a dedicated platform that they don’t use to read email or browse the web, adding that any such avenues are subject to all manners of third party attacks. He further stated:
“This is inconvenient, but when dealing with assets of great value and where there is no recourse in the event of theft, extreme care is justified. And, as with all financial transactions, they should be very careful in deciding who to deal with, since the counterparties can also steal your assets and disappear.”
Therefore, while moving into a future driven by NFTs and other similar novel digital offerings, it remains to be seen how platforms operating within this space continue to evolve and mature, especially as a growing amount of capital keeps making its way into the NFT market.
