Os assaltos à NFT estão chegando ao noticiário. Aqui como você pode se proteger, diz Indrė Viltrakytė, co-fundador da Os Rebeldes.
Os ataques de phishing não são novos. Às vezes, eles são fáceis de detectar. Como quando os avisos vêm com um pedido para enviar suas informações bancárias para um príncipe de uma terra estrangeira distante. Mas, às vezes, eles são mais difíceis de detectar. Como quando uma solicitação para aprovar a liberação de seus ativos vem de uma fonte aparentemente confiável.
Isto é o que aconteceu recentemente em um caso de roubo de phishing NFT. Os usuários confiavam em um esquema que envolvia o Plataforma de lançamento. Os usuários concordaram com um prompt para aprovar uma entidade desconhecida para controlar seus ativos.
Em 17 de julho de 2022, uma plataforma NFT popular, a Premint NFT, foi hackeada. 314 NFTs no valor de $ 430,000 foram roubados. Os perpetradores conseguiram plantar código malicioso no site oficial da Premint. O código instruía os usuários a “definir aprovações para todos” ao conectar suas carteiras digitais ao site. Isso permitiu que os invasores acessassem seus ativos de criptografia e roubassem seus NFTs.
O novo mundo das NFTs – coleção de arte digital – pode estar na fila para mais ataques de phishing.
Assaltos NFT: O que está sendo roubado?
Normalmente, quando ouvimos a palavra NFT, pensamos em uma imagem digital única e conectada ao blockchain. No entanto, é mais elaborado do que isso. Ao falar sobre NFTs, o rastreamento de propriedade e exclusividade são sempre acentuados. Mas em nenhum lugar do padrão NFT, é declarado o que os tokens exclusivos representam. Em sua essência, os tokens são apenas números únicos. São os autores da coleção NFT que definem o que esses tokens representam.
Além disso, as imagens geralmente nunca são “carregadas no carteira de cripto.” Eles não fazem parte do contrato NFT. Um hash da imagem pode ser escrito no contrato para criar uma conexão com a coisa que o NFT representa. Além disso, o NFT como padrão não se preocupa com o valor ou as operações de compra e venda dos NFTs. Ele fornece apenas métodos padrão para transferir a propriedade do NFT. São os mercados e a comunidade que se baseiam nisso e tratam os NFTs como mercadoria.
Como mercadoria, as NFTs são compradas principalmente como colecionáveis, muitas vezes usadas para fins de investimento. Eles desenvolveram casos de uso práticos apenas recentemente. Um exemplo é wearables de moda digital no Metaverso.
O que pode ser feito no futuro?
Quem é o culpado? É o usuário? Ou a plataforma, que permitiu que um invasor iniciasse uma transação fraudulenta?
Nesse caso específico, os invasores conseguiram exibir conteúdo para induzir o usuário a assinar a transação fraudulenta.
Uma razão vaga e plausível para a transação em combinação com a confiança no site foi suficiente para enganar muitos. Dito isso, não é razoável esperar que o usuário médio da Web3 possa contorná-la. A maioria não tinha um conhecimento técnico forte o suficiente para perceber que a transação estava realmente dando a alguém acesso às suas NFTs.
É possível enganar os usuários para que assinem transações se forem iniciadas por um site confiável. Os ativos nas carteiras dos usuários são tão seguros quanto TODOS os aplicativos descentralizados (dapps) com os quais o usuário interage juntos. Casos idênticos podem acontecer no futuro.
Os caminhos segurança pode ser melhorado:
1. As carteiras podem exibir mais informações de orientação humana para tipos de interação de contrato conhecidos. Por exemplo, uma enorme mensagem vermelha dizendo: "Ei, você está dando o controle de todas as suas NFTs para alguém!" Isso seria muito melhor do que o atual em maiúsculas “SET APPROVAL FOR ALL” em cinza na janela de confirmação de transação do MetaMask.
2. Os sites podem listar e publicar as interações contratuais que podem iniciar. Os provedores gostam MetaMask poderia recusar quaisquer transações fora do padrão.
Assaltos NFT: Como os usuários podem se proteger
– Revise os detalhes da transação antes de assinar. Isso não protegerá o usuário 100% do tempo. Mas revisar qual método e qual contrato é crucial.
– Separe NFTs (e outros ativos criptográficos) em várias carteiras. Se os usuários forem induzidos a dar a alguém o controle de seus ativos em um wallet, pelo menos os ativos em outras carteiras estão seguros. Isso é contanto que você não compartilhe sua chave privada ou a frase inicial.
- Use carteiras diferentes para dapps diferentes. Nem sempre é prático fazer isso quando o dapp deve interagir com outros ativos na carteira. No entanto, é importante tentar manter apenas o que é relevante.
Sobre o autor
Indrė Viltrakytė é o cofundador do empreendimento de moda Web3 Os Rebeldes. Tem 10101 personagens únicos baseados na polêmica campanha publicitária “Jesus, Maria”. A campanha foi banida, mas depois encontrou justiça no Tribunal Europeu de Direitos Humanos, que decidiu a favor da marca. O caso agora é considerado um precedente em casos relacionados à liberdade de expressão na UE. Indrė Viltrakytė tem mais de 10 anos de experiência na indústria da moda.
Tem algo a dizer sobre assaltos NFT ou qualquer outra coisa? Escreva para nós ou participe da discussão em nosso Canal de telegrama. Você também pode nos pegar Tik Tok, Facebookou Twitter.
Aviso Legal
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Fonte: https://beincrypto.com/nft-heists-attacks-many-to-come/