Veja como o lado sombrio da Web3 se livra dele

Como os ladrões de NFT se safarem roubando milhões (ou mesmo bilhões) de dólares, à vista de todos? As transações de criptografia ocorrem no livro-razão público, portanto, encontrar o culpado deve ser simples. Apesar disso, é quase impossível pegar ladrões de NFT.

Parte do problema vem com a área, onde os golpistas e ladrões de NFT bem-sucedidos vivem na vanguarda do espaço. Mas há razões mais profundas para isso do que simplesmente aprender sobre o espaço – e examinar a história mais profunda pode nos ajudar a nos proteger melhor de ataques futuros.

Roubo de NFT, altas artes e vítimas de celebridades

o Os assaltos mais caros da NFT Ele visava NFTs de alto perfil, como o Bored Ape Yacht Club, o Mutant Ape Yacht Club e o Moonbirds. Os altos preços e a popularidade desses NFTs cobraram um preço esmagador para muitos.

  • O dono da galeria de arte Todd Kramer perdeu quase US$ 2,2 milhões em NFTs.
  • O cofundador da Cameo, Stephen Galanis, perdeu Mais de $ 200.000 Em NFTs e criptomoedas.
  • O ator Seth Green perdeu quatro NFTs e comprou um por US$ 269.000 para garantir os direitos de uso em seu novo programa de TV. Pub Cavalo Branco.

A lista de NFTs roubados é muito maior do que esses exemplos de celebridades, mas o tópico consistente é que muito poucos recuperam NFTs.

Como os ladrões de NFT escapam disso

A mecânica de tração de roubo é relativamente simples. Na maioria das vezes, o roubo começa com um ataque de phishing e termina com a mistura e retirada de criptomoedas. Estes são os principais passos que um ladrão provavelmente tomará:

  • Acesso (ou controle) à carteira de criptomoedas online da vítima
  • Transferência de NFTs e criptomoedas da carteira da vítima para a carteira privada
  • Venda NFTs a um preço baixo para garantir uma troca rápida
  • Envie criptomoedas da carteira do ladrão através do mixer de criptomoedas
  • Retirar criptomoedas mistas para a 3ª carteira, desfocando os caminhos (mais sobre isso abaixo)

Vamos dar uma olhada mais profunda no primeiro passo desse processo; Em seguida, aprofundaremos o motivo pelo qual a transparência da Web3 não ajuda a capturar ladrões.

Como os ladrões de NFT obtêm acesso às suas carteiras de criptografia

Trusted NFT Markets trabalha duro para manter um alto nível de segurança e defender seus clientes contra ladrões. Até agora, eles conseguiram manter os hackers afastados. Mas ladrões e hackers implementaram com sucesso outras estratégias por meio de mídias sociais, e-mails falsos e sites.

Estas são as estratégias de roubo de NFT mais comuns. Vamos descompactá-lo então.

  • Ataques tradicionais de phishing por e-mail
  • Ataques de phishing em redes sociais e fóruns
  • Ice trolling – explorando contratos inteligentes
  • Bugs de mercado e falhas de segurança

Ataque clássico de phishing por e-mail

A maioria dos internautas conhece Ataques de phishing – Especialmente por e-mail. Eles começam com uma mensagem de e-mail projetada para parecer ser de um banco, serviço postal ou outro provedor de serviços.

A mensagem contém uma solicitação urgente para clicar em um link, concluir um pagamento ou redefinir uma senha. O link clicado redireciona você para um site projetado para se parecer com o negócio real e tenta que você compartilhe seu nome de usuário e senha. Os ataques de phishing NFT variam de solicitações clássicas de atualizações de senha a ofertas exclusivas e (é claro) por tempo limitado para tokens gratuitos – conhecidos como airdrops.

Um site falso geralmente é projetado para parecer o mais próximo possível do mercado oficial. Isso inclui uma técnica chamada typosquatting, em que a URL está próxima da URL da plataforma de destino. Dessa forma, os ladrões aumentam suas chances de conseguir novas vítimas via tráfego orgânico que não percebe erros de digitação minuciosos. Como os ataques de phishing tradicionais, essa abordagem protege o acesso dos ladrões de NFT às carteiras de suas vítimas, que são esvaziadas de acordo com a abordagem acima.

Ataques de phishing em redes sociais e fóruns

Embora o envio de rede ampla funcione bem com e-mails de phishing clássicos, o número de vítimas em potencial cai drasticamente para ladrões de NFT. É por isso que eles também exploram outros canais para ataques de phishing. Esta pode ser uma das razões pelas quais as celebridades estão entre os alvos dos grandes roubos de NFT. Em um caso, os hackers conseguiram Ganhou acesso ao Discord Bored Ape Yacht Club. A partir daí, eles postaram links maliciosos para um público altamente engajado de detentores de NFT.

Em um caso menos dramático, os ladrões de NFT fingiram ser uma equipe de suporte para o software de carteira no Twitter e enviaram mensagens diretamente para os detentores de NFT designados.

Corrida de gelo para NFTs

Como acontece com a maioria das coisas da Web3, as rotas potenciais tomadas pelos golpistas são tão complexas quanto novas. Em vez de atrair as senhas de suas vítimas, hackers sofisticados criaram contratos inteligentes que lhes permitem esvaziar as carteiras de suas vítimas. Isso permite que os hackers evitem medidas de segurança como autenticação de dois fatores (mais sobre isso abaixo).

Em um ataque de phishing no gelo, o hacker cria uma interface de contrato inteligente para parecer que veio de uma plataforma conhecida. Isso pode ser para um protocolo de liquidez automatizado, como o que é executado no Uniswap e no SushiSwap. Para que isso funcione, os usuários assinam contratos inteligentes que permitem que as plataformas executem negócios em seu nome. A menos que as vítimas sejam muito cuidadosas e cuidadosas, elas podem facilmente ignorar que os contratos inteligentes de hackers mudaram de endereço.

Um ataque de phishing no gelo foi realizado em Protocolo DAO DeFi Badger final de 2021. Ao injetar scripts maliciosos, os hackers conseguiram roubar US$ 121 milhões em apenas 10 horas. A abordagem é descrita em detalhes neste artigo sobre Ataques de phishing no gelo por segurança da Microsoft.

Bugs de mercado e falhas de segurança

Os ladrões de NFT também aproveitaram bugs e flexibilidade nos protocolos usados ​​para contratos inteligentes NFT. Uma tática semelhante ao phishing no gelo viu os hackers deixarem os campos do contrato inteligente em branco e preenchê-los depois que as vítimas se inscreverem para eles.

Outra abordagem foi explorar um bug no histórico de transferências do OpenSea. Embora isso não fosse um hack, mostrou má intenção. Alguns usuários moveram seus NFTs de uma carteira para outra. de acordo com a cobertura A beiraOs usuários fizeram isso para evitar o pagamento das taxas de gás necessárias para validar as transações no blockchain.

Como esses usuários não atualizaram os contratos inteligentes de seus NFTs, eles se abriram para uma vulnerabilidade no OpenSea. De acordo com a interface do usuário, o histórico de transações e a taxa de gás desapareceram. Mas a lista antiga ainda estava ativa no blockchain para todos verem.

Quando esses usuários transferiram suas NFTs para suas carteiras antigas para inclusão, as NFTs foram listadas automaticamente no último preço verificado no blockchain.

Isso resultou em um lucro rápido de quase US$ 904.000 em ETH em um único dia para um único usuário do OpenSea com más intenções. Eles compraram NFTs famosos a preços antigos e os venderam a preços atuais incríveis.

Isso ressuscitou discussões sobre quem é responsável pelo que está na Web3 descentralizada e desgovernada. Voltaremos a isso.

Por que a transparência do Web3 não impediu o roubo de NFT

Independentemente da abordagem, qualquer ladrão no espaço Web3 precisa de um plano de saída sólido. Como todas as transações de blockchain são listadas publicamente, eliminar o roubo de NFT requer um esforço significativo.

Depois de vender um NFT roubado (grupo) e adquirir criptomoeda – principalmente ETH – o ladrão de NFT tem várias opções:

  • Venda criptomoeda por moeda fiduciária na bolsa o mais rápido possível
  • Transfira ETH para as carteiras dos conspiradores em troca de moeda fiduciária
  • Esconda seus rastros e espere um pouco

O rastreamento do caminho se torna mais difícil se os ladrões de NFT conseguirem negociar seus saques de criptografia em moeda fiduciária. A partir daí, eles podem usar a velha abordagem criminosa à lavagem de dinheiro. Coloque dinheiro sujo em negócios legítimos e misture-o com dinheiro limpo.

No entanto, os criminosos da Web3 também podem misturar criptografia para tornar suas atividades mais limpas, explorando as iniciativas de privacidade da Web3. A privacidade é especialmente importante para muitos dos primeiros adeptos da Web3, já que os ladrões de NFT e outros cibercriminosos são conhecidos por usar essas opções para cobrir seus rastros. Isso levou a uma discussão recente sobre mixers de criptografia como Blender.io, UniJoin e, em particular, Tornado Cash.

Os mixers de criptografia oferecem contratos inteligentes que permitem aos usuários depositar quantias específicas de ETH em blocos de até 60.000 transações. Após um período em depósito, o Ethereum depositado pode ser retirado para outras carteiras usando um token do contrato inteligente. O processo de agregação torna quase impossível acompanhar as transações.

O Tornado Cash tem sido associado a grandes quantidades de lavagem de criptomoedas. Isso levou o Tesouro dos EUA Proibir os moradores de usar o Tornado Cash Forçando o Tornado Cash a desligar.

Cofundador da Tornado Cash Roman Semenov Também foi banido do GitHub. Mas o protocolo de mixer de código aberto ainda pode ser executado e até foi Re-upload no github por um professor de criptologia para testar o nível de liberdade de expressão no GitHub de propriedade da Microsoft. Portanto, resta saber se a regulamentação terá um impacto real nos criminosos de criptografia ou apenas prejudicará a privacidade dos usuários comuns.

Como o roubo de NFT desafia o núcleo da Web3

Até agora, o princípio da Web3 era “código é lei”. Quando uma transação é verificada no blockchain, é um fato. Esta é a base do Bitcoin, a criptomoeda peer-to-peer original. É esta abordagem que tornou possível construir a Web3 sem centralização e órgãos reguladores.

Mas com o afluxo de usuários com menos experiência em tecnologia, a Web3 pode ser desafiada. Na maioria dos casos de roubo de NFT e “deduções não intencionais”, os detentores de NFT se tornaram vulneráveis ​​a isso.

Isso pode ser um sinal de que os detentores de NFT não são motivados pela crença na auto-reserva e responsabilidade e pela leitura do blog como parte de sua pesquisa. À medida que reguladores e mercados tentam combater o roubo de NFT, a falta de adaptação entre a comunidade NFT pode levar a mudanças no núcleo da Web3. As etiquetas já estão aqui:

Este pode ser o início do fork Web3 como o conhecemos. Podemos ver uma série de iniciativas mais estruturadas e fáceis de usar que atendem às necessidades de usuários menos experientes em tecnologia. Se isso soa bem ou não para você, vamos pensar nas melhores maneiras de evitar o roubo de NFT.

Passos para evitar o roubo de NFT

A maioria dos casos de roubo de NFT são mais prováveis ​​pelas ações (ou omissões) dos próprios detentores de NFT. É assim que você evita ser essa pessoa.

Faça backup de sua frase de recuperação em papel

Claro, você pode gravar em pedra também. Mas faça um backup offline analógico do backup do gateway de recuperação. Nunca coloque a frase de recuperação da sua carteira de criptomoedas na Internet. Nem mesmo como uma imagem de um backup em papel manuscrito. O jornalista de tecnologia dinamarquês Nikolaj Son Carteira Bitcoin esvaziada depois que seu álbum de fotos na nuvem foi hackeado.

Habilite a autenticação de dois fatores (2FA)

Roubar sua senha é uma coisa. Mas é outro tipo de roubo para proteger o acesso ao dispositivo que você está usando para a segunda etapa de autenticação. Portanto, mantenha seus NFTs seguros com um aplicativo 2FA como Autenticador do Google Ou uma chave 2FA para dispositivos como Chave de segurança do Google Titan.

Armazene seus NFTs offline em carteiras frias

As carteiras de criptomoedas online são chamadas de carteiras quentes. Como estão online, podem ser hackeados ou desaparecer junto com a empresa por trás deles. Quando você transfere NFTs e criptomoedas para uma carteira de hardware offline, elas não podem ser hackeadas. Inclua carteiras frias populares TresorE a ArbitragemE as elíptico.

Proteja sua comunidade com autenticação Web3

O conteúdo de interceptação tornou-se cada vez mais importante com o desenvolvimento da comunidade NFT. O acesso seguro e em vários níveis é essencial para garantir que apenas as pessoas certas possam acessar o conteúdo sobre sua NFT. SlashAuth Protege facilmente esse aspecto da propriedade NFT de possíveis ladrões.

Os ladrões podem se safar

Este triste fato é que o roubo de NFT provavelmente permanecerá aparente por algum tempo. Alguns desenvolvimentos oferecem esperança de mais segurança, mas a possibilidade de que a sociedade os rejeite ou seja tomada por ladrões também é grande. Provavelmente veremos mais regulamentação e governança introduzidas no espaço no futuro, mas espera-se que isso ocorra às custas da privacidade. Para muitos, pode não valer o preço.

Novas iniciativas como o NFT Authenticator da Verasity também estão sendo criadas. Isso pode ser um grande passo à frente para a segurança do usuário, mas pode simplesmente forçar os ladrões a encontrar novas maneiras de explorar os proprietários.

Em última análise, a proteção de ativos depende do indivíduo. Todos nós precisamos fazer o nosso melhor para proteger nossas coisas, e esse é um sentimento amplamente verdadeiro em todos os sites da Web3. A melhor coisa que você pode fazer é ficar atento, atento e acima das medidas de segurança da Web3 discutidas acima.
Nota do editor: Este artigo foi contribuído por caxemira.


#Veja #como #lado #sombrio #Web3 #livra #dele

Leave a Comment