Em fevereiro de 2022, OpenSea foi vítima de um grande ataque de phishing que resultou em mais de US$ 1.7 milhão em tokens não fungíveis (NFTs) sendo roubado dos usuários. Não foi o único incidente: os usuários do Blockchain supostamente perdeu US$ 3.9 bilhões em atividades fraudulentas no 2022 sozinho.
Ao entrarmos em 2023, houve um coro de promessas para aumentar a segurança no espaço criptográfico. Mas, até agora, as coisas não mudaram significativamente. As empresas que utilizam blockchain ainda não estão fazendo o suficiente para evitar fraudes.
Se a tecnologia blockchain for adotada em massa, as empresas terão que mudar sua abordagem de baixo para cima. Ao focar na educação e implementar melhores processos para identificar atividades maliciosas, essas plataformas podem atender melhor seus clientes à medida que o espaço continua crescendo.
As plataformas Blockchain precisam aprender a identificar atividades maliciosas
No caso do hack OpenSea, as vítimas foram solicitadas a assinar um contrato incompleto, aparentemente a pedido da plataforma. Embora a infraestrutura principal da OpenSea não tenha sido hackeada, as contas falsas conseguiram tirar proveito do Protocolo Wyvern de código aberto. Os hackers foram então capazes de usar a assinatura do proprietário para serem transferidos para um contrato falso que lhes dava a propriedade sem ter que pagar pelas NFTs.
Relacionado: 10 previsões para cripto em 2023
A OpenSea recentemente reverteu algumas de suas políticas anteriores depois que foi relatado que 80% dos NFTs cunhados gratuitamente na plataforma foram plagiados ou spam. A OpenSea também confia nos desenvolvedores que usam sua API, o que não é uma maneira infalível de avaliar o risco. Esses desenvolvedores podem usar a API para fins mal-intencionados para tirar proveito de usuários que assinam contratos que não lêem.
Smart contracts são parte integrante do mecanismo blockchain e podem ser encontrados em qualquer lugar, desde trocas NFT até verdadeiros aplicativos descentralizados. Entender como esses contratos funcionam é fundamental para manter os usuários seguros. Em vez de reinventar a roda, as empresas podem implementar protocolos padrão para garantir que os contratos inteligentes sejam resilientes e protegidos contra atividades maliciosas. A partir daí, as empresas podem aproveitar a natureza flexível do blockchain e personalizar seu contrato, como configurar carteiras de assinatura múltipla e testes de unidade regulares.
Cuidado com o airdrop de spam
Se você procurar a popular coleção Mutant Hounds apresentada nas principais coleções da OpenSea, não há indicação de qual coleção é legítima. A falta de verificação pode levar à formação de coleções falsificadas, aumentando artificialmente o preço para parecer legítimo e confuso para os usuários. As coleções falsas são frequentemente distribuídas por airdrops, destinadas a serem encontradas por meio da funcionalidade de pesquisa de uma plataforma NFT.
Relacionado: O que Paul Krugman erra sobre cripto
As coleções de spam também podem enviar aos usuários NFTs que eles não solicitaram por meio de airdrops. Os usuários serão redirecionados não por meio da plataforma onde realizam a coleta, como o OpenSea, mas por meio de um site diferente, onde ocorre o golpe.
Esse é um risco comum que pode ser tratado por plataformas que monitoram essa atividade, seja por meio de um banco de dados de crowdsourcing que rastreia contas fraudulentas ou de uma ferramenta administrativa que sabe o que procurar e está constantemente ciente de golpes atualizados. Além disso, as plataformas NFT podem exigir que os lances estejam na mesma moeda da listagem para evitar confusão. Muitos usuários foram enganados ao aceitar uma oferta em uma moeda menos valiosa do que aquela em que listaram o NFT para venda. As plataformas Blockchain podem contar com dados para expor seus valores discrepantes, sinalizando atividades suspeitas com base em atividades irregulares entre um pequeno número de detentores.
Claro, deve-se notar que empresas como a OpenSea estão na posição desafiadora de ter que policiar contas fraudulentas que cunham em sua plataforma. Em muitos casos, resume-se à necessidade de maior verificação do acervo oficial.
A integração é parte integrante do plano de negócios
A integração deve ser uma parte essencial da experiência blockchain para usuários veteranos e novatos. Assim como os contratos inteligentes, estabelecer diretrizes claras para o usuário e destacar os riscos potenciais deve ser considerado uma das melhores práticas fundamentais para garantir a segurança do usuário. Esses guias devem ser revisados regularmente, levando em consideração a avaliação de risco e ajustados de acordo com o amadurecimento do blockchain.
Entre usuários experientes, o inicialismo “DYOR” é comum entre os usuários do blockchain. Como uma abreviação de “faça sua própria pesquisa”, essa expressão tornou-se uma regra tácita para aqueles que interagem com potenciais oportunidades de investimento. No entanto, pode ser um desafio para os recém-chegados saber exatamente por onde começar. Há um coro de informações discordantes de influenciadores dentro do espaço que muitas vezes estão promovendo a próxima grande novidade e conduzindo investimentos arriscados, resultando em usuários sendo vítimas de golpes ou perda de ativos. Diretrizes e materiais educacionais devem estar prontamente disponíveis, selecionados para o sistema de valores e riscos exclusivos de cada plataforma.
As melhores práticas devem ser uma prioridade para todas as plataformas blockchain
Como a comunidade blockchain atualmente trabalha com suas dores crescentes, as empresas devem aprender as duras lições aprendidas por meio de grandes explorações como as do OpenSea e refinar seus protocolos de segurança para garantir que isso não aconteça novamente. Aprender os prós e contras da tecnologia básica, desde contratos inteligentes até como proteger a frase inicial de alguém, deve ser o ponto de partida. A partir daí, aprenda como implementar e manter as práticas recomendadas, como identificar atividades maliciosas e aquelas que causam estragos. Talvez tudo o que seria necessário para impedir alguns dos hacks em larga escala mais recentes fosse simplesmente alguém perceber que algo parecia errado.
Michael R. Pierce é o co-fundador e CEO da NotCommon. Ele recebeu seu BBA e MBA pela Universidade do Texas em Austin.
Este artigo é para fins de informação geral e não pretende ser e não deve ser considerado como aconselhamento jurídico ou de investimento. Os pontos de vista, pensamentos e opiniões aqui expressos são de responsabilidade exclusiva do autor e não refletem ou representam necessariamente os pontos de vista e opiniões da Cointelegraph.
Fonte: https://cointelegraph.com/news/opensea-must-become-more-ambicious-about-fighting-hackers