O mercado de tokens não fungíveis (NFT) está crescendo desde o verão de 2021 e, à medida que os preços do NFT dispararam, o mesmo aconteceu com o número de hacks direcionados a NFTs.
O hack de alto perfil mais recente desviou aproximadamente 600 Ether (ETH) no valor de NFTs de Arthur0x, o fundador da DeFiance Capital, que foram então vendidos na OpenSea.
Um relatório de crimes criptográficos de 2022 publicado pela Chainalysis destacou que o valor enviado aos mercados NFT por endereços ilícitos saltou significativamente em 2021, chegando a pouco menos de US$ 1.4 milhão. Houve também um claro aumento nos fundos roubados enviados para mercados NFT.
Dado o rápido aumento preocupante do valor ilícito que flui para as plataformas NFT, é natural perguntar se as medidas e procedimentos de segurança estão em vigor e, em caso afirmativo, se essas medidas são eficazes na proteção dos proprietários.
Vamos dar uma olhada no OpenSea, a maior plataforma NFT, e suas medidas de segurança.
As medidas de segurança do OpenSea não podem proteger os usuários
O OpenSea tem duas medidas de segurança principais que entram em ação quando uma conta é “hackeada” – bloquear a conta comprometida e bloquear os NFTs roubados. Essas duas medidas são muito ineficazes quando analisadas de perto.
O bloqueio da conta pode ser feito no site da OpenSea sem aprovação humana, pois mostrando aqui, enquanto o bloqueio dos NFTs envolve um processo demorado de levantar um ticket e aguardar a resposta da equipe de ajuda da OpenSea.
Em uma situação em que um hacker já comprometeu a carteira e está transferindo os NFTs para fora, o bloqueio da conta só será eficaz se for feito antes que o hacker transfira tudo.
Da mesma forma, bloquear as NFTs também só é eficaz antes que as NFTs sejam vendidas a outro comprador pelo hacker. O pior é que essa medida de segurança cria uma série de vítimas indiretas que acabam com NFTs bloqueadas que não podem ser vendidas ou transferidas. Isso ocorre porque o tempo de resposta para tickets gerados no OpenSea é de pelo menos um dia. No momento em que os NFTs são bloqueados pelo OpenSea, eles já teriam sido vendidos para outro comprador que agora se torna a nova vítima do crime.
No caso dos 17 Azuki roubados da Arthur0x, 15 foram roubados no mesmo minuto e dois foram roubados três minutos depois. O tempo médio que esses NFTs roubados permaneceram na carteira do hacker antes de serem vendidos é de 43 minutos. As medidas de segurança do OpenSea não são de forma alguma responsivas e rápidas o suficiente para informar a vítima e parar o hacker; nem eles podem informar os compradores prontamente o suficiente para impedi-los de comprar os NFTs roubados e se tornarem vítimas indiretas.
Bloquear NFTs roubados cria vítimas indiretas
Uma vítima indireta é alguém que não é o alvo do hack, mas sofre indiretamente as perdas financeiras causadas pelo bloqueio dos NFTs roubados. Como visto em muitos hacks recentes de NFT, os NFTs são sempre vendidos antes que o bloco seja implementado pelo OpenSea. A consequência de bloquear os NFTs tarde demais é que cria vítimas indiretas e mais perdas para mais pessoas.
Para ilustrar com mais detalhes como alguém pode acabar comprando um NFT roubado e se tornar uma vítima indireta de um hack, aqui estão três casos comuns:
Caso 1: Alice comprou um NFT, mas só descobriu depois que era um ativo roubado. O NFT está bloqueado e Alice não pode vendê-lo ou transferi-lo no OpenSea. Ela então começa a levantar um ticket de suporte. Após várias semanas, a equipe OpenSea Trust & Safety oferece o reembolso das taxas de plataforma de 2.5%; e possivelmente o endereço de e-mail da vítima que relatou o roubo se tiver sorte. Então, ela provavelmente terá uma longa discussão com a vítima para negociar a possibilidade de levantar o bloqueio, o que provavelmente não terminará em lugar nenhum.
Alice ainda pode vender o NFT em outros marketplaces, mas o volume de vendas é muito baixo para essa coleção específica e não há comprador que possa oferecer um preço justo em plataformas que não sejam OpenSea.
Caso 2: Alice fez várias ofertas enquanto fazia lances em NFTs de uma coleção. Uma das ofertas foi aceita pelo hacker, que então recebeu o pagamento do lance na carteira da vítima e procedeu à limpeza da carteira. O NFT foi bloqueado posteriormente como parte dos ativos roubados de transações não autorizadas pela vítima.
Casos como esse geralmente acontecem porque as NFTs listadas não podem ser transferidas a menos que a listagem seja cancelada. O hacker, que está sob pressão do tempo, estará mais propenso a aceitar uma oferta de lance e obter os lucros da venda e transferir o dinheiro. O caso abaixo mostra como toda a coleção NFT da vítima indireta foi bloqueada pelo OpenSea sem explicação.
Aqui está o meu tópico sobre como @Mar aberto bloqueou minha conta sem razão e congelou todos os meus NFTs depois da minha oferta de 40 semanas por @BoredApeYC #6267 foi aceito.
Acho muito importante divulgar este caso entre a comunidade NFT!
Vamos começar ⬇️ pic.twitter.com/xnxctpzzpL-Mpa3yka (@Mpa3yka) 10 de novembro de 2021
Caso 3: Alice é proprietária de um NFT há algum tempo e, de repente, ele é bloqueado e marcado como “relatado por atividade suspeita”. A conta do vendedor não está comprometida e a transação aconteceu há algum tempo. Como não há evidência necessária para denunciar um NFT roubado e bloqueá-lo, qualquer pessoa pode enviar um e-mail para a equipe antifraude da OpenSea para bloquear qualquer NFT.
Embora um relatório policial possa ser solicitado posteriormente, não há uma declaração clara da OpenSea para especificar as evidências necessárias para provar o hack nem uma condição sob a qual um NFT roubado falsamente relatado possa ser identificado e retirado do bloco. Não há consequências para a falsa comunicação de NFTs roubados.
Os NFTs são frequentemente bloqueados sem explicação ou evidência, como relatórios policiais fornecidos à vítima indireta. Teoricamente, esses NFTs ainda podem ser negociados em outras plataformas, mas dado o monopólio da OpenSea no mercado, com 95% do volume total de negociação de NFT, bloquear qualquer NFT no OpenSea é quase equivalente a tirá-los do mercado para sempre.
Bloquear NFTs pode aumentar artificialmente o preço
O perigo de bloquear a negociação de NFTs roubados na maior plataforma de NFT OpenSea é a redução permanente na oferta. Com base no lei da oferta e demanda na teoria econômica, quando a oferta cai, o preço sobe.
Como exemplo, a coleção Azuki possui 10,000 NFTs e atualmente, apenas 1,100 estão à venda no OpenSea. O hack Arthur0x resultou em 17 roubos e bloqueios. Embora 17 NFTs representem apenas cerca de 1.5% da oferta circulante de 1,100, o preço já mostrou uma tendência de aumento após o hack. O hack aconteceu em 22 de março e o preço atingiu o pico em 28 de março a 20.96 E antes do anúncio do lançamento aéreo em 31 de março - um aumento de 55% em uma semana.
Embora nem todos os 17 NFTs roubados estejam bloqueados, pois Arthur conseguiu recuperar alguns através de negociações com as vítimas indiretas para comprá-los de volta, futuros hacks de forma semelhante acontecerão continuamente e o número cumulativo de NFTs bloqueados só pode aumentar à medida que os hacks continuam e nenhum procedimento está em vigor para desbloqueá-los.
Usando o Azuki como exemplo novamente, o gráfico abaixo coleta o número histórico de vendas e o preço médio para criar uma curva de demanda e assume que a curva de oferta é linear. O ponto onde as curvas de oferta e demanda se cruzam é o preço de equilíbrio.
À medida que a oferta diminui continuamente, a velocidade de aumento do preço se torna mais rápida à medida que a inclinação da curva de demanda se torna mais acentuada. Uma redução igual de 300 NFTs na oferta de 1,000 para 700 versus de 700 para 400 resulta em um aumento de preço maior para o último.
Conforme mostrado no gráfico abaixo, o preço aumenta de 15 ETH para 21 ETH da redução de 1,000 para 700, mas aumenta mais de 21 ETH para 28 ETH da redução de 700 para 400.
É claro que o bloqueio dos NFTs roubados poderia aumentar artificialmente o preço da coleção. Se alguém quiser tirar vantagem da brecha no sistema de segurança OpenSea ao reportar falsamente muitos NFTs da mesma coleção como roubados (já que nenhuma evidência é necessária para relatar NFTs roubados), o preço da coleção pode aumentar drasticamente se a oferta for baixa . Essa brecha pode criar oportunidades para manipulação de preços no mercado ilíquido de NFT.
De qualquer forma, bloquear NFTs não é uma medida eficaz para impedir o hack ou punir o hacker, mas, ao contrário, cria mais vítimas indiretas e brechas para os manipuladores de mercado. Este certamente não é o caminho a seguir, então existe alguma medida de segurança eficaz?
Medidas preventivas e um sistema baseado em evidências precisam estar em vigor
O atual sistema de segurança OpenSea não possui medidas preventivas para proteger os usuários antecipadamente. Todas as medidas de segurança são implementadas somente após o hack, que é uma das principais razões pelas quais elas são ineficazes.
Com base nos comportamentos dos hackers, o tempo é um componente essencial. Medidas de segurança que podem retardar o hacker ou informar as vítimas antecipadamente são as chaves para vencer a batalha. Aqui estão algumas medidas preventivas mais eficazes que podem ser implementadas pela OpenSea:
- Crie um sistema de alerta antecipado que possa detectar atividades anormais na conta e enviar mensagens de texto instantâneas ou alertas de e-mail para informar os usuários sobre tais atividades para que tenham tempo suficiente para responder. Por exemplo, se a conta nunca comprou ou transferiu mais de um NFT em um minuto; ou se a conta nunca teve nenhuma atividade no passado durante um período de tempo específico (ou seja, fusos horários quando o usuário está dormindo), a ocorrência de tais atividades será detectada por algoritmos de aprendizado de máquina. O titular da conta pode optar por ser informado imediatamente ou permitir que a conta seja bloqueada automaticamente por segurança.
- Oferecer aos usuários a opção de restringir o número máximo de transferências ou vendas de NFT permitidas dentro de um prazo, ou seja, no máximo uma transferência ou venda em um minuto; ou um intervalo de tempo mínimo imposto entre cada transferência ou venda, ou seja, a próxima transferência ou venda só poderá ocorrer 15 minutos após a anterior. Essas medidas podem impedir que hackers roubem um grande número de NFTs de uma só vez.
- Crie painéis de contas suspeitas que permitam às vítimas adicionar instantaneamente contas comprometidas e contas de hackers para escrutínio público. Isso dará a todos os compradores informações em tempo real sobre contas suspeitas e a capacidade de verificar se o vendedor está na lista antes de comprar. Evidências como um boletim de ocorrência podem ser solicitadas posteriormente à vítima para provar que as contas denunciadas estão de fato comprometidas.
Algumas dessas medidas podem gerar falsos alarmes e inconveniências. Mas, como é uma corrida de tempo contra o hacker quando se trata de medidas preventivas, os usuários preferem prevenir do que remediar para evitar se tornar a próxima vítima.
Equívocos comuns sobre hacking de criptomoedas
Um equívoco comum sobre hacking de criptografia é que “isso não vai acontecer comigo porque minha consciência de segurança é alta e eu uso uma carteira difícil”. Pode ser verdade que um hack malicioso direto possa ser evitado por meio de boas práticas de segurança, mas qualquer pessoa pode se tornar uma vítima indireta de um hack direcionado a outra pessoa. Quando o número de hacks aumenta, a chance de se tornar uma vítima indireta também é muito maior.
Outro equívoco é: “desde que eu não guarde muito dinheiro na minha carteira quente, não importa se a carteira está comprometida”. O que a maioria dos usuários não percebe é que a perda monetária é apenas uma das repercussões do hack. Perder uma carteira Web3 é como perder todo o histórico de crédito. Quaisquer benefícios futuros baseados em atividades passadas, como airdrops ou acesso a empréstimos e alavancagem, também podem evaporar com a carteira comprometida.
Embora o blockchain seja uma das tecnologias financeiras mais seguras já criadas, hacks maliciosos em plataformas baseadas em criptografia são a maior ameaça ao empreendimento Web3.
Dada a natureza irreversível do blockchain e a falta de medidas preventivas de segurança do OpenSea, não é difícil ver a melhor solução que o OpenSea apresentou após o Hack de leilão de domínio Ethereum é oferecer ao hacker um lucro de 25% da venda em troca da devolução dos NFTs roubados. Somente no mundo do mercado NFT um criminoso pode ser recompensado em vez de punido por um crime tão grave.
Como monopólio do mercado NFT, o OpenSea certamente pode fazer melhor do que isso e levar as medidas de segurança mais a sério e fornecer mais proteção aos seus usuários.
As opiniões e opiniões aqui expressas são unicamente do autor e não refletem necessariamente as opiniões do Cointelegraph.com. Todo investimento e movimentação comercial envolve risco, você deve conduzir sua própria pesquisa ao tomar uma decisão.
Fonte: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections