NFT: nuevos objetivos de fraude

La automatización del fraude exige mejores defensas, comenzando por la identidad digital.

Compré un token no fungible (NFT) el otro día. Lo compré en OpenSea, uno de los principales mercados de NFT. En caso de que te interese el arte, se trata de una caricatura de la talentosa artista Helen Holmes. Por si te interesa la especulación, este es el que compré yo. Es de su colección de "originales" y ahora se exhibe con orgullo en mi billetera crypto.com para que todos lo vean.

Le encargué a Helen que dibujara las caricaturas que uso para ilustrar mis artículos aquí, así que sé con certeza que ella es real, que las caricaturas son originales creadas por ella y que tengo derecho a usarlas debido a nuestro propio acuerdo. Y me complace decir que si alguien compra uno de sus NFT, el dinero es para ella, la artista que lo merece. Resulta que esto hace que "mi" NFT sea uno de los pocos ejemplos legítimos de algunos, porque el mes pasado OpenSea dijo que más del 80 % de los NFT creados de forma gratuita en la plataforma son "obras plagiadas, colecciones falsas y spam".

(Digo “mi” NFT, aunque tener un NFT no me da ningun derecho en la propiedad intelectual subyacente, que aún pertenece a Helen, o el acceso único a la imagen misma que cualquiera puede descargar simplemente haciendo clic con el botón derecho en la imagen de arriba).

Incluso los NFT que no son falsos y fraudulentos suelen ser dudosos, por decir lo menos. Incluyo en esta categoría el NFT de una radiografía de uno de los sobrevivientes de la masacre de Bataclane en París, que fue puesto a la venta por el cirujano que la trató! Y esto no tiene que ver con OpenSea, tiene que ver con todo el mercado.

En realidad, "mercado" es probablemente la palabra incorrecta, porque un estudio reciente encontrado que “Solo el 10% superior de los comerciantes realizan el 85% de todas las transacciones y comercian al menos una vez el 97% de todos los activos”. Mirando los números, el 10 por ciento superior de los "pares de comprador-vendedor" son tan activos como todos los demás juntos. Es un parque infantil capturado casi en su totalidad por las ballenas.

Cuando la plataforma que vendió el NFT del primer tweet de Jack Dorsey por tres millones de dólares estadounidenses detiene la mayoría de las transacciones porque los creadores falsificados vendían tokens de contenido que no les pertenecían, entonces creo que todos podemos estar de acuerdo en que hay un problema fundamental con el comercio de activos digitales.

Innovation

Parece que las NFT están proporcionando una plataforma para la innovación en el fraude, así como la innovación en trabajos creativos. Uno de los tipos más comunes es lo que se conoce como "comercio de lavado", donde grupos de estafadores intercambian un NFT entre ellos, por un precio cada vez más alto, hasta que alguien que no es parte del grupo y que piensa que el precio es real. (en el lenguaje coloquial de la banca de inversión en inglés, estas personas se conocen como "apostadores de tazas") intervienen para comprar el "arte". En ese momento, el grupo dividió las ganancias entre ellos, enjuagar y repetir.

(Este fraude, en el que los vendedores son ambos lados de la venta, es rampante. Y no se trata solo de que algunos criptobros saqueen del público inflando falsamente el valor de los NFT. El Tesoro de EE. UU. ya ha expresado su preocupación de que la actividad podría usarse para lavado de dinero.)

OpenSea fue superado recientemente en volumen por LooksRare. LooksRare recompensa financieramente a los usuarios por su volumen de transacciones, lo que previsiblemente significa que los delincuentes juegan con el sistema. La empresa de criptoanálisis CryptoSlam estimado que aproximadamente el 87 por ciento del volumen total de operaciones desde el lanzamiento es, de hecho, operaciones de lavado.

(Comercio de lavado de NFT, según un informe detallado) Estudio de encadenamiento del problema, tiene una asimetría interesante: la mayoría de los comerciantes no han sido rentables, pero los exitosos se han beneficiado tanto que, en su conjunto, el grupo se ha beneficiado inmensamente).

Habiendo dicho que las NFT son una plataforma para la innovación en el fraude, me veo obligado a admitir que a veces admiro el ingenio de algunos de los piratas informáticos/explotadores de criptomonedas que han estado trabajando en este nuevo mundo. Tomemos, por ejemplo, la "laguna legal" de OpenSea que se aprovechó porque algunos propietarios de NFT no sabían que sus antiguos listados de venta todavía estaban activos. Se encontraron estos listados antiguos y se compraron los NFT. Esto condujo a la pérdida de múltiples NFT costosos a precios bajísimos. 

(El problema era que los NFT se vendían a precios de oferta anteriores cuando los NFT eran mucho menos valiosos. Para dar un ejemplo específico, un atacante pagó un total de $ 133,000 por siete NFT antes de venderlos rápidamente por $934,000 en ETH. Cinco horas más tarde, las ganancias mal habidas se enviaron a través de Tornado Cash, un servicio de "mezcla" que se utiliza para evitar el rastreo de fondos en blockchain).

Como Tom Robinson de la empresa de análisis de blockchain Elliptic explicado, este fraude ingenioso (aunque debo decir que no tan complejo) condujo a más fraudes porque OpenSea envió un correo electrónico a los usuarios que aún tenían listados NFT antiguos y, por lo tanto, eran susceptibles a este fraude. Sin embargo, la cancelación de la lista anterior requería una transacción ETH, por lo que los emprendedores entusiastas independientes de las finanzas alternativas detrás del fraude original crearon bots para buscar estas transacciones en particular y ejecutarlas para comprar los NFT antes de que se cancelara la lista.

(En otras palabras, al tratar de ayudar y decirles a los usuarios que cancelen las listas vulnerables, el mercado entregó precisamente la información que los perpetradores necesitan para automatizar sus ataques).

Escala y alcance

No todos los fraudes son particularmente complejos. Se ha perdido una gran cantidad de dinero en fraudes muy básicos, como el "tirón de la alfombra", mediante el cual los innovadores ingenieros de criptomonedas anuncian el lanzamiento de un nuevo y fabuloso activo digital que hará cosas increíbles en el futuro, aumentará 100 veces su valor en casi nada. tiempo y curar el cáncer en el camino. El público responde con entusiasmo e inunda a los emisores con efectivo, momento en el que los emisores desaparecen, eliminando su sitio web, el chat de Telegram y los perfiles falsos de LinkedIn en el camino. El público deja salir a los gatos virtuales de las bolsas virtuales y descubre que se quedan sin nada.

(monojizz fue una estafa! ¡Quien sabe!)

Sin embargo, hay fraudes que se aprovechan más de la naturaleza de la nueva infraestructura. El "honeypot" es un ejemplo de ello. En un honeypot, el programador de los contratos inteligentes que controlan un nuevo token inserta un código de puerta trasera para asegurarse de que solo su propia billetera pueda vender. Todos los demás que compran tokens descubren que su dinero está atascado en el honeypot, mientras que el estafador que creó el contrato inteligente puede cobrarlo en cualquier momento.

La mención de los honeypots nos lleva a nuevas áreas. Muchos de los fraudes más notables que abundan involucran proyectos de finanzas descentralizadas, o DeFi, con más de $ 10 mil millones perdidos por robo y fraude de DeFi, como muestra un informe de Elliptic de noviembre. Y esto es solo el comienzo, en mi opinión, porque la capacidad de automatizar el fraude en el espacio DeFi es un desarrollo fascinante y aterrador.

(El fraude automatizado no se limita al mundo web3, por supuesto. PayPal cerró recientemente 4.5 millones de cuentas y redujo su pronóstico de nuevos clientes después de descubrir que las granjas de bots estaban explotando sus incentivos. Habían ofrecido $10 como incentivo para abrir nuevas cuentas, en qué punto los bots comenzaron a trabajar en los campos de PayPal en lugar de las personas. Como siempre he sostenido, un día la credencial ES-UNA-PERSONA será la credencial más valiosa de todas).

Cuando se trata de web3, la intersección de contratos inteligentes llenos de errores de programación, criptomonedas y anonimato es un campo de juego completamente nuevo para estafadores, terroristas y bromistas. La combinación de automatización y complejidad es tóxica y debe abordarse desde el principio. Odio decirlo una vez más, pero el camino a seguir es a través de una infraestructura de identidad digital funcional y adecuada para el siglo XXI. Quizás DeFi (basándose en credenciales verificables y pruebas de conocimiento cero), en lugar de CeFi (basándose en identidades federadas y atributos compartidos), podría poner en marcha una infraestructura de identidad que a su vez se convertirá en su legado duradero.