El mercado de tokens no fungibles (NFT) ha estado en auge desde el verano de 2021 y, a medida que los precios de NFT se dispararon, también lo hizo la cantidad de hacks dirigidos a NFT.
El hack de alto perfil más reciente desvió aproximadamente 600 Ether (ETH) en NFT de Arthur0x, el fundador de DeFiance Capital, que luego se vendieron en OpenSea.
Un informe de criptocrimen de 2022 publicado por Chainalysis destacó que el valor enviado a los mercados de NFT por direcciones ilícitas aumentó significativamente en 2021, alcanzando un poco menos de $ 1.4 millones. También hubo un claro aumento en los fondos robados enviados a los mercados de NFT.
Dado el rápido y preocupante aumento del valor ilícito que fluye hacia las plataformas NFT, es natural preguntarse si existen medidas y procedimientos de seguridad y, de ser así, si estas medidas son efectivas para proteger a los propietarios.
Echemos un vistazo a OpenSea, la plataforma NFT más grande, y sus medidas de seguridad.
Las medidas de seguridad de OpenSea no pueden proteger a los usuarios
OpenSea tiene dos medidas de seguridad principales que se activan una vez que una cuenta ha sido "hackeada": bloquear la cuenta comprometida y bloquear los NFT robados. Estas dos medidas son muy ineficaces cuando se miran de cerca.
El bloqueo de la cuenta se puede hacer en el sitio web de OpenSea sin aprobación humana como mostrado aquí, mientras que bloquear los NFT implica un largo proceso de generar un ticket y esperar a que el equipo de ayuda de OpenSea responda.
En una situación en la que un pirata informático ya ha comprometido la billetera y está en proceso de transferir los NFT, el bloqueo de la cuenta solo será efectivo si se hace antes de que el pirata informático transfiera todo.
Del mismo modo, el bloqueo de los NFT solo es efectivo antes de que el hacker venda los NFT a otro comprador. Lo que es aún peor es que esta medida de seguridad crea una serie de víctimas indirectas que terminan con NFT bloqueados que no se pueden vender ni transferir. Esto se debe a que el tiempo de respuesta de los tickets recaudados en OpenSea es de al menos un día. Para cuando OpenSea bloquee los NFT, ya se habrían vendido a otro comprador que ahora se convierte en la nueva víctima del delito.
En el caso de los 17 Azuki robados de Arthur0x, 15 fueron robados en el mismo minuto y dos fueron robados tres minutos después. El tiempo promedio que estos NFT robados permanecieron en la billetera del pirata informático antes de que se vendieran es de 43 minutos. Las medidas de seguridad de OpenSea no son lo suficientemente receptivas y rápidas para informar a la víctima y detener al hacker; tampoco pueden informar a los compradores con la suficiente prontitud para evitar que compren los NFT robados y se conviertan en víctimas indirectas.
El bloqueo de NFT robados crea víctimas indirectas
Una víctima indirecta es alguien que no es el objetivo del hackeo pero que indirectamente sufre las pérdidas financieras causadas por el bloqueo de los NFT robados. Como se ve en muchos hacks recientes de NFT, los NFT siempre se venden antes de que OpenSea implemente el bloque. La consecuencia de bloquear los NFT demasiado tarde es que crea víctimas indirectas y más pérdidas para más personas.
Para ilustrar con más detalle cómo alguien podría terminar comprando un NFT robado y convertirse en víctima indirecta de un hackeo, aquí hay tres casos comunes:
Caso 1: Alice compró un NFT pero descubrió más tarde que es un activo robado. El NFT está bloqueado y Alice no puede venderlo ni transferirlo en OpenSea. Luego procede a generar un ticket de soporte. Después de varias semanas, el equipo de OpenSea Trust & Safety ofrece reembolsar las tarifas de la plataforma del 2.5%; y posiblemente la dirección de correo electrónico de la víctima que denunció el robo si tiene suerte. Luego, es probable que tenga una larga discusión con la víctima para negociar la posibilidad de levantar el bloqueo, que probablemente no terminará en ninguna parte.
Alice aún puede vender NFT en otros mercados, pero el volumen de ventas es muy bajo para esta colección en particular y no hay ningún comprador que pueda ofrecer un precio justo en otras plataformas que no sean OpenSea.
Caso 2: Alice hizo múltiples ofertas mientras pujaba por NFT de una colección. Una de las ofertas fue aceptada por el pirata informático, quien luego recibió el pago de la oferta en la billetera de la víctima y procedió a vaciar la billetera. El NFT fue bloqueado más tarde como parte de los activos robados de transacciones no autorizadas por parte de la víctima.
Casos como este ocurren a menudo porque los NFT listados no se pueden transferir a menos que se cancele el listado. Es más probable que el hacker, que está bajo presión de tiempo, acepte una oferta de compra y obtenga las ganancias de la venta y transfiera el dinero. El caso a continuación muestra cómo OpenSea bloqueó toda la colección NFT de la víctima indirecta sin explicación.
Aquí está mi hilo sobre cómo @mar abierto bloqueó injustificadamente mi cuenta y congeló todos mis NFT después de mi oferta de 40 weth por @BoredApeYC #6267 fue aceptado.
¡Creo que es muy importante difundir este caso entre la comunidad de NFT!
Empecemos ⬇️ pic.twitter.com/xnxctpzzpL-Mpa3yka (@Mpa3yka) 10 de noviembre.
Caso 3: Alice ha tenido un NFT durante bastante tiempo y de repente está bloqueado y marcado como "reportado por actividad sospechosa". La cuenta del vendedor no está comprometida y la transacción se realizó hace un tiempo. Dado que no se requiere evidencia para denunciar un NFT robado y bloquearlo, cualquiera puede enviar un correo electrónico al equipo antifraude de OpenSea para bloquear cualquier NFT.
Aunque se puede solicitar un informe policial más adelante, OpenSea no especifica las pruebas necesarias para probar el hackeo ni una condición bajo la cual un NFT robado denunciado falsamente pueda identificarse y retirarse del bloque. No hay ninguna consecuencia por informar falsamente NFT robados.
Los NFT a menudo se bloquean sin explicación o evidencia, como informes policiales proporcionados a la víctima indirecta. Teóricamente, estos NFT todavía se pueden negociar en otras plataformas, pero dado el monopolio de OpenSea en el mercado, con el 95 % del volumen total de negociación de NFT, bloquear cualquier NFT en OpenSea es casi equivalente a sacarlo del mercado para siempre.
El bloqueo de NFT podría aumentar artificialmente el precio
El peligro de bloquear el comercio de NFT robados en la plataforma NFT más grande, OpenSea, es la reducción permanente del suministro. Basado en el ley de oferta y demanda en la teoría económica, cuando la oferta baja, el precio sube.
Como ejemplo, la colección Azuki tiene 10,000 NFT y actualmente, solo 1,100 están a la venta en OpenSea. El hack Arthur0x resultó en el robo y bloqueo de 17. Aunque 17 NFT representan solo alrededor del 1.5 % de la oferta en circulación de 1,100, el precio ya ha mostrado una tendencia al alza después del ataque. El hackeo ocurrió el 22 de marzo y el precio puntiagudo el 28 de marzo a las 20.96 E antes del anuncio del airdrop del 31 de marzo: un aumento del 55 % en una semana.
Aunque no todos los 17 NFT robados están bloqueados, ya que Arthur logró recuperar algunos negociando con las víctimas indirectas para volver a comprarlos, los ataques futuros de forma similar ocurrirán continuamente y la cantidad acumulada de NFT bloqueados solo puede aumentar a medida que los ataques continúan y no existen procedimientos para desbloquearlos.
Usando Azuki como ejemplo nuevamente, el siguiente gráfico recopila el número histórico de ventas y el precio promedio para crear una curva de demanda y asume que la curva de oferta es lineal. El punto donde se cruzan las curvas de oferta y demanda es el precio de equilibrio.
A medida que la oferta disminuye continuamente, la velocidad de aumento del precio se vuelve más rápida a medida que la pendiente de la curva de demanda se vuelve más pronunciada. Una disminución igual de 300 NFT en la oferta de 1,000 a 700 versus de 700 a 400 da como resultado un aumento de precio mayor para este último.
Como se muestra en el gráfico a continuación, el precio aumenta de 15 ETH a 21 ETH de la reducción de 1,000 a 700, pero aumenta más de 21 ETH a 28 ETH de la reducción de 700 a 400.
Está claro que bloquear los NFT robados podría aumentar artificialmente el precio de la colección. Si alguien quisiera aprovechar la laguna en el sistema de seguridad de OpenSea al informar falsamente muchos NFT de la misma colección como robados (ya que no se requiere evidencia para informar NFT robados), el precio de la colección podría aumentar drásticamente si el suministro es bajo. . Esta laguna podría crear oportunidades para la manipulación de precios en el mercado no líquido de NFT.
En cualquier caso, el bloqueo de NFT no es una medida eficaz para detener el hackeo o castigar al hacker, sino que, por el contrario, crea más víctimas indirectas y lagunas para los manipuladores del mercado. Ciertamente, este no es el camino a seguir, entonces, ¿existe alguna medida de seguridad efectiva?
Es necesario implementar medidas preventivas y un sistema basado en evidencia.
El sistema de seguridad actual de OpenSea no tiene medidas preventivas para proteger a los usuarios de antemano. Todas las medidas de seguridad se implementan solo después del hackeo, que es una de las principales razones por las que son ineficaces.
Según los comportamientos de los piratas informáticos, el tiempo es un componente esencial. Las medidas de seguridad que pueden ralentizar al hacker o informar a las víctimas a tiempo son las claves para ganar la batalla. Aquí hay algunas medidas preventivas más efectivas que OpenSea puede implementar:
- Cree un sistema de alerta temprana que pueda detectar actividad anormal en la cuenta y envíe mensajes de texto instantáneos o alertas por correo electrónico para informar a los usuarios sobre dicha actividad para que tengan suficiente tiempo para responder. Por ejemplo, si la cuenta nunca ha comprado o transferido más de un NFT en un minuto; o si la cuenta nunca ha tenido actividades en el pasado durante un período de tiempo específico (es decir, zonas horarias en las que el usuario está dormido), los algoritmos de aprendizaje automático detectarán la ocurrencia de tales actividades. El titular de la cuenta puede optar por ser informado de inmediato o permitir que la cuenta se bloquee automáticamente por seguridad.
- Proporcionar a los usuarios la opción de restringir el número máximo de transferencias o ventas de NFT permitidas dentro de un período de tiempo, es decir, un máximo de una transferencia o venta dentro de un minuto; o un intervalo de tiempo mínimo impuesto entre cada transferencia o venta, es decir, la próxima transferencia o venta sólo puede ocurrir 15 minutos después de la anterior. Estas medidas pueden evitar que los piratas informáticos roben una gran cantidad de NFT de una sola vez.
- Cree paneles de cuentas sospechosas que permitan a las víctimas agregar instantáneamente cuentas comprometidas y cuentas de piratas informáticos para el escrutinio público. Esto brindará a todos los compradores información en tiempo real sobre cuentas sospechosas y la capacidad de verificar si el vendedor está en la lista antes de comprar. Posteriormente, se puede solicitar a la víctima evidencia como un informe policial para demostrar que las cuentas denunciadas están realmente comprometidas.
Algunas de estas medidas pueden crear falsas alarmas e inconvenientes. Pero dado que es una carrera de tiempo contra el hacker cuando se trata de medidas preventivas, los usuarios prefieren estar seguros que lamentar para evitar convertirse en la próxima víctima.
Conceptos erróneos comunes sobre la piratería criptográfica
Un concepto erróneo común sobre la piratería criptográfica es que "esto no me sucederá a mí porque mi conciencia de seguridad es alta y uso una billetera dura". Puede ser cierto que un ataque malicioso directo podría evitarse mediante buenas prácticas de seguridad, pero cualquiera podría convertirse en víctima indirecta de un ataque dirigido a otra persona. Cuando aumenta el número de hacks, la posibilidad de convertirse en una víctima indirecta también es mucho mayor.
Otro concepto erróneo es, "siempre y cuando no guarde demasiado dinero en mi billetera caliente, no importa si la billetera está comprometida". Lo que la mayoría de los usuarios no se dan cuenta es que la pérdida monetaria es solo una de las repercusiones del hackeo. Perder una billetera Web3 es como perder todo su historial crediticio. Cualquier beneficio futuro basado en actividades pasadas, como airdrops o acceso a préstamos y apalancamiento, también podría evaporarse con la billetera comprometida.
Aunque blockchain es una de las tecnologías financieras más seguras jamás creadas, los ataques maliciosos hacia las plataformas basadas en criptografía son la mayor amenaza para la empresa Web3.
Dada la naturaleza irreversible de blockchain y la falta de medidas de seguridad preventivas de OpenSea, no es difícil ver la mejor solución que se le ocurrió a OpenSea después de la Truco de subasta de dominio Ethereum es ofrecer al hacker un beneficio del 25% de la venta a cambio de la devolución de los NFT robados. Solo en el mundo del mercado NFT se puede recompensar a un delincuente en lugar de castigarlo por un delito tan grave.
Como monopolio del mercado de NFT, OpenSea ciertamente puede hacer algo mejor que esto y tomar las medidas de seguridad más en serio y brindar más protección a sus usuarios.
Los puntos de vista y las opiniones expresadas aquí son exclusivas del autor y no reflejan necesariamente los puntos de vista de Cointelegraph.com. Cada movimiento de inversión e intercambio implica riesgos, debe realizar su propia investigación al tomar una decisión.
Fuente: https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections