NFTs: novos alvos de fraude

A automação da fraude exige melhores defesas, começando pela identidade digital.

Eu comprei um token não fungível (NFT) no outro dia. Comprei no OpenSea, um dos principais marketplaces de NFT. Caso você se interesse por arte, é um desenho da talentosa artista Helen Holmes. Caso você esteja interessado em especulação, este é o que eu comprei. É de sua coleção de “originais” e agora está orgulhosamente em exibição na minha carteira crypto.com para todos verem.

Encomendei Helen para desenhar as caricaturas que uso para ilustrar meus artigos aqui, então tenho certeza de que ela é real, que as caricaturas são originais criadas por ela e que tenho o direito de usá-las devido ao nosso próprio acordo. E, fico feliz em dizer, que se alguém comprar um de seus NFTs, o dinheiro vai para ela, a artista merecedora. Como se vê, isso faz da “minha” NFT um dos poucos exemplos legítimos de alguns, porque no mês passado a OpenSea disse que mais de 80% das NFTs criadas gratuitamente na plataforma são “obras plagiadas, coleções falsas e spam".

(Eu digo “meu” NFT, embora possua um NFT não me dá nenhum direito na propriedade intelectual subjacente, que ainda pertence a Helen, ou acesso exclusivo à própria imagem que qualquer pessoa pode baixar apenas clicando com o botão direito do mouse na imagem acima.)

Mesmo os NFTs que não são falsos e fraudulentos são muitas vezes desonestos, para dizer o mínimo. Incluo nesta categoria o NFT de um raio-X de um dos sobreviventes do massacre do Bataclane em Paris, que foi colocada à venda pelo cirurgião que a tratou! E isso não é algo a ver com OpenSea, é algo a ver com todo o mercado.

Na verdade, “mercado” é provavelmente a palavra errada, porque um estudo recente descobriram que “somente os 10% principais dos traders realizam 85% de todas as transações e negociam pelo menos uma vez 97% de todos os ativos”. Olhando para os números, os 10% principais dos “pares comprador-vendedor” são tão ativos quanto todos os outros juntos. É um parque infantil quase totalmente capturado pelas baleias.

Quando a plataforma que vendeu o NFT do primeiro tweet de Jack Dorsey por três milhões de dólares americanos interrompe a maioria das transações porque os criadores falsificados estavam vendendo tokens de conteúdo que não pertenciam a eles, então acho que todos podemos concordar que há um problema fundamental com negociação de ativos digitais.

Inovação

Parece que os NFTs estão fornecendo uma plataforma para inovação em fraudes, bem como inovação em trabalhos criativos. Um dos tipos mais comuns é o que se conhece como “wash trading”, onde grupos de fraudadores negociam uma NFT entre si, por um preço cada vez maior, até que alguém que não faz parte do grupo e que acha que o preço é real (na linguagem coloquial de banco de investimento inglês, esses indivíduos são conhecidos como “mug punters”) intervém para comprar a “arte”. Nesse ponto, o grupo divide os lucros entre si, enxagua e repete.

(Essa fraude, onde os vendedores são os dois lados da venda, é desenfreada. E não se trata apenas de alguns criptobros saqueando do público inflando falsamente o valor dos NFTs. O Tesouro dos EUA já expressou preocupação de que a atividade possa ser usada para lavagem de dinheiro.)

O OpenSea foi recentemente ultrapassado em volume pelo LooksRare. O LooksRare recompensa financeiramente os usuários por seu volume de negociação, o que previsivelmente significa trapaceiros jogando no sistema. Empresa de análise de criptografia CryptoSlam Estima-se que aproximadamente 87 por cento do volume total de negociação desde o lançamento é, na verdade, negociação de lavagem.

(Wash trading de NFTs, de acordo com Estudo de cadeialise da questão, tem uma assimetria interessante: a maioria dos traders não foi lucrativa, mas os bem-sucedidos lucraram tanto que, como um todo, o grupo lucra imensamente.)

Tendo dito que os NFTs são uma plataforma para inovação em fraude, sou forçado a admitir que às vezes admiro a ingenuidade de alguns dos hackers/exploradores de criptomoedas que estão trabalhando neste novo mundo. Veja, por exemplo, a “brecha” do OpenSea que foi explorada porque alguns proprietários de NFT não sabiam que suas listas de venda antigas ainda estavam ativas. Essas listagens antigas foram encontradas e as NFTs foram compradas. Isso levou à perda de vários NFTs caros a preços baixíssimos. 

(O problema era que as NFTs estavam sendo vendidas a preços de oferta antigos feitos quando as NFTs eram muito menos valiosas. Para dar um exemplo específico, um atacante pagou um total de US$ 133,000 por sete NFTs antes de vendê-los rapidamente por US$ 934,000 em ETH. Cinco horas depois, os ganhos ilícitos foram enviados através do Tornado Cash, um serviço de “mistura” que é usado para impedir o rastreamento de fundos de blockchain.)

Como Tom Robinson da empresa de análise de blockchain Elliptic explicado, essa fraude engenhosa (embora eu deva dizer, não tão complexa) levou a ainda mais fraude porque o OpenSea enviou um e-mail para usuários que ainda tinham listagens NFT antigas e, portanto, eram suscetíveis a essa fraude. No entanto, o cancelamento da listagem antiga exigia uma transação ETH, de modo que os entusiastas autônomos de finanças alternativas por trás da fraude original criaram bots para observar essas transações específicas e executá-las para comprar os NFTs antes que a listagem fosse cancelada.

(Em outras palavras, ao tentar ser útil e dizer aos usuários para cancelar as listagens vulneráveis, o mercado forneceu precisamente as informações necessárias aos criminosos para automatizar seus ataques.)

Escala e Escopo

Nem todas as fraudes são particularmente complexas. Muito dinheiro foi perdido em fraudes muito básicas, como o “rug pull”, em que engenheiros inovadores de criptomoedas anunciam o lançamento de um novo e fabuloso ativo digital que fará coisas incríveis no futuro, aumentará 100x em valor em quase nenhum tempo e curar o câncer a caminho. O público responde com entusiasmo e inunda os emissores com dinheiro, momento em que os emissores desaparecem, excluindo seu site, bate-papo do Telegram e perfis falsos do LinkedIn no caminho. O público solta os gatos virtuais das sacolas virtuais e descobre que eles ficaram sem nada.

(MacacoJizz foi uma farsa! Quem sabia!)

Há fraudes, porém, que se aproveitam mais da natureza da nova infraestrutura. O “pote de mel” é um desses exemplos. Em um honeypot, o programador dos contratos inteligentes que controlam um novo token insere um código de backdoor para garantir que apenas sua própria carteira possa realmente vender! Todos os outros que compram tokens descobrem que seu dinheiro está preso no honeypot, enquanto o golpista que criou o contrato inteligente pode sacar a qualquer momento.

A menção de honeypots nos leva a novas áreas. Muitas das fraudes mais notáveis ​​que abundam envolvem finanças descentralizadas, ou DeFi, projetos com mais de US $ 10 bilhões perdidos para roubo e fraude DeFi, como mostra um relatório elíptico de novembro. E isso é apenas o começo na minha opinião, porque a capacidade de automatizar fraudes no espaço DeFi é um desenvolvimento fascinante e aterrorizante.

(A fraude automatizada não se limita ao mundo da web3, é claro. O PayPal fechou recentemente 4.5 milhões de contas e reduziu sua previsão para novos clientes depois de descobrir que os bot farms estavam explorando seus incentivos. Eles ofereceram US$ 10 como incentivo para abrir novas contas, em qual ponto os bots começaram a lavrar os campos do PayPal em vez de pessoas. Como tenho mantido consistentemente, um dia a credencial IS-A-PERSON será a credencial mais valiosa de todas.)

Quando se trata de web3, a interseção de contratos inteligentes cheios de erros de programação, criptomoedas e anonimato é um campo de jogo totalmente novo para fraudadores, terroristas e brincalhões. A combinação de automação e complexidade é tóxica e precisa ser enfrentada antecipadamente. Odeio dizer isso mais uma vez, mas o caminho a seguir é por meio de uma infraestrutura de identidade digital funcional e adequada para o século XXI. Talvez DeFi (com base em credenciais verificáveis ​​e provas de conhecimento zero), em vez de CeFi (com base em identidades federadas e atributos compartilhados), possa dar o pontapé inicial em uma infraestrutura de identidade que, por sua vez, se tornará seu legado duradouro.