В отличие от вашей любимой бейсбольной карточки, вор не может выхватить NFT прямо у вас из рук. Но давайте поговорим о вполне реальных рисках безопасности в мире цифровых коллекционных товаров.
Предупреждение о спойлерах: если вы зашли сюда, чтобы узнать, можно ли украсть NFT, то короткий ответ – да.
Но когда мы говорим “украсть” в контексте коллекционных предметов, основанных на блокчейне, мы имеем в виду нечто совсем другое, чем, скажем, Topps Mickey Mantle 1952 года или пара прототипов Yeezy, которые вы можете подержать в руках.
В большинстве (не во всех!) случаев мы можем разделить кражу неигровых токенов на две основные группы (или их комбинацию):
Обманы, с помощью которых пользователей обманом заставляют передать свои активы или предоставить доступ ко всем своим криптокошелькам.
Эксплуатация существующих уязвимостей безопасности платформы NFT или другого онлайн-сообщества.
Очень важно, что собственный недосмотр или ошибка пользователя могут способствовать краже криптоактивов в обоих случаях, а не только в первом, хотя ни один случай не является одинаковым.
Могут ли хакеры украсть мои NFT?
В конечном итоге, это зависит от вашего определения того, что такое “хакер”.
Из-за распределенных, децентрализованных принципов, лежащих в основе криптотехнологии, невозможно просто “взломать” всю эту чертову блокчейн-сеть, в которой живут ваши NFT от Bored Ape, точно так же, как взламывают вашу электронную почту или аккаунт на Amazon. Для того чтобы понять, чем является и что делает этот гипотетический хакер Web3, скорее всего, потребуется изменение парадигмы нашего понимания информационной безопасности и цифровых угроз – и, возможно, умопомрачительное количество вычислительной мощности.
На данный момент более точным термином для обычного вора NFT является знакомый термин: мошенник. Точнее, тот, кто обманом заставляет пользователя открыть свой собственный кошелек.
СЦЕНАРИЙ 1: Взлом цифровых сообществ типа Discord с помощью Webhooks.
Давайте поговорим о том, что произошло в Fractal в декабре.
Краткая версия: Несколько энтузиастов NFT перешли по ссылке от убедительного, но поддельного бота Discord и были лишены криптоактивов на сумму до $150 000.
Webhooks – это API-функции, которые позволяют программам отслеживать информацию, отправленную на определенный веб-адрес, и в результате производить определенное действие – по сути, они “слушают” выполнение определенных условий, которые вызывают ответные действия, часто принимающие форму уведомлений. Однако webhooks могут быть использованы в злонамеренных целях в сообществах, которые не принимают надлежащих мер по обеспечению аутентификации.
В случае с событиями с Fractal, на их канале Discord отсутствовали меры по борьбе с подделкой данных, которые могли бы предотвратить мошенническую выдачу webhook за сообщение бота Discord.
Примерно в то же время нечто подобное произошло на Discord Королевства Обезьян.
Однако обман с помощью веб-хуков – это лишь один из методов получения доступа к активам ничего не подозревающего клиента, обеспеченным блокчейном.
СЦЕНАРИЙ 2: Обман пользователей с целью заставить их предоставить доступ к своим криптокошелькам.
Вам не нужно взламывать канал Discord, чтобы скрыться с чужим NFT. Некоторые пользователи были обмануты поддельными потенциальными покупателями гораздо более вопиющим образом:
Из Twitter Calvin Becerra @calvinbecerra“Главные новости! Все три @BoredApeYC были взломаны сегодня ночью через discord. Парни, выдававшие себя за покупателей в discord, помогали мне решить проблему, которая, как мы думали, имела место. Они провели меня через настройки языка в моей MetaMask, заставили меня выбрать опцию и забрали все.” 9:05 AM – Oct 30, 2021 от Corona, CA
В других местах неизбежно появляются многочисленные чат-каналы, выдающие себя за “OpenSea Support” или другие, казалось бы, полезные услуги для владельцев NFT всех мастей.
Почему Discord так часто становится мишенью для подобных обманов? Потому что такие замкнутые, сплоченные сообщества могут быть последним местом, где энтузиаст криптоколлекционирования чувствует необходимость быть начеку.
Многие из этих сообществ осознали такую возможность и соответствующим образом скорректировали правила, привилегии и меры предосторожности. Но риски все равно остаются.
Можно ли украсть NFT, не обманув его владельца?
По большому счету, большинство случаев “кражи” NFT, с которыми вы можете столкнуться, являются результатом мошенничества и обмана, которые намного, намного старше, чем мир технологии блокчейн, а в некоторых случаях и сам интернет. Но это еще не вся история.
СЦЕНАРИЙ 3: Проблемы кибербезопасности на платформах NFT
Nifty Gateway, популярный цифровой рынок, принадлежащий криптовалютной бирже Gemini, в марте 2021 года подвергся прямому взлому, в результате которого у нескольких пользователей были украдены учетные записи, они оказались заблокированы и наблюдали, как их активы NFT были похищены старым добрым способом.
Из Twitter Lt.Crandog @LtCrandogMar 13, 2021@niftygateway мой аккаунт был только что взломан, и человек, который вошел, даже не был удален после смены пароля?! Что, черт возьми, происходит?!Lt.Crandog @LtCrandogОБНОВЛЕНИЕ! Только что вернул все свои Nft, кроме одного. Спасибо @niftygateway и @DCCockFoster за помощь в решении проблемы. Было бы здорово, если бы мне вернули украденный @Bosslogic или хотя бы деньги, полученные за продажу моего NFT по бросовой цене.4:21 AM – Mar 16, 2021
Это не то, что мы увидим в Discord, но по крайней мере один принцип здесь тот же: речь идет не о взломе чьего-то криптокошелька напрямую, а об эксплуатации отдельной платформы, к которой подключено множество криптокошельков.
По сей день идея о том, что один злоумышленник может взломать весь блокчейн, как государственную компьютерную сеть или энергосистему, остается немыслимой.
Но главное, что ему или ей это и не нужно.
Проблемы с кибербезопасностью Nifty, которые привели к прошлогоднему событию, были решены. Но сам факт того, что это вообще произошло, был поразительным и свидетельствовал об одном из ключевых камней преткновения на пути грандиозного перехода от Web2 к Web3.
СЦЕНАРИЙ 4: Плохие парни узнали вашу seed-фразу
Чтобы получить доступ к криптокошельку, нужны две вещи. В частности, два криптографических ключа – открытый ключ для шифрования данных и закрытый ключ для расшифровки данных.
Каждый кошелек также имеет соответствующую ” seed-фразу”, также известную как ” фраза восстановления ” – строка из 12 или 24 слов, которая позволяет пользователю восстановить принадлежащие ему криптоактивы на блокчейне, даже если он потерял доступ к своему кошельку. Другими словами, начальная фраза генерирует криптографические ключи, необходимые для подтверждения личности “истинного” владельца.
По этой причине seed-фразы не предназначены для хранения, скажем, в телефоне, в почтовом ящике или в любом другом месте под солнцем, которое не является абсолютно безопасным (многие предпочитают записывать их на листе обычной бумаги). Но если кто-то все-таки завладеет вашей seed-фразой, взломав ваш телефон, электронную почту или просто сфотографировав лист бумаги, на котором вы ее написали… игра окончена.
СЦЕНАРИЙ 5: Когда совершенно невынужденная ошибка пользователя обошлась в $297 000
Это не кража. Но это произошло, и вы должны знать об этом.
Иногда вы хотите выставить свой Bored Ape на продажу за 75 ETH, что на тот момент составляло около $300 000. А иногда вы не обращаете внимания и выставляете его на продажу за 0,75 ETH, или около $3 000.
Из Twitter Boredapebot @boredapebotBored Ape #3547 был приобретен за 0,75 ETH opensea.io3547 – The Bored Ape Yacht Club | OpenSeaThe Bored Ape Yacht Club – это коллекция из 10 000 уникальных Bored Ape NFTs – уникальных цифровых коллекционных предметов, живущих на блокчейне Ethereum. Ваша Bored Ape удваивается как членская карта яхт-клуба, и…2:56 AM – Dec 12, 2021
Чтобы обезопасить себя от мошеннических действий, рекомендуем пользоваться нашим NFT Календарем.
Во вкладке NFT События вы найдете только качественные nft коллекции, которые мы проверяем так же на предмет мошенничества.
#nft #nftscam #нфт #нфт мошенники