Le marché des jetons non fongibles (NFT) est en plein essor depuis l'été 2021 et, à mesure que les prix des NFT montaient en flèche, le nombre de piratages ciblant les NFT augmentait également.
Le piratage de haut niveau le plus récent a siphonné environ 600 Ether (ETH) d'une valeur de NFT d'Arthur0x, le fondateur de DeFiance Capital, qui ont ensuite été vendus sur OpenSea.
Un rapport sur la criminalité cryptographique de 2022 publié par Chainalysis a souligné que la valeur envoyée aux marchés NFT par des adresses illicites avait considérablement augmenté en 2021, atteignant un peu moins de 1.4 million de dollars. Il y a également eu une nette augmentation des fonds volés envoyés sur les marchés NFT.
Compte tenu de l'augmentation rapide et préoccupante de la valeur illicite circulant sur les plates-formes NFT, il est naturel de se demander si des mesures et des procédures de sécurité sont en place et, dans l'affirmative, si ces mesures sont efficaces pour protéger les propriétaires.
Jetons un coup d'œil à OpenSea, la plus grande plate-forme NFT, et ses mesures de sécurité.
Les mesures de sécurité d'OpenSea ne peuvent pas protéger les utilisateurs
OpenSea a deux mesures de sécurité principales qui entrent en vigueur une fois qu'un compte a été « piraté » : verrouiller le compte compromis et bloquer les NFT volés. Ces deux mesures sont très inefficaces lorsqu'on les regarde de près.
Le verrouillage du compte peut être effectué sur le site Web d'OpenSea sans approbation humaine, car montré ici, alors que le blocage des NFT implique un long processus de création d'un ticket et d'attente de la réponse de l'équipe d'assistance d'OpenSea.
Dans une situation où un pirate a déjà compromis le portefeuille et est en train de transférer les NFT, le verrouillage du compte ne sera efficace que s'il est effectué avant que le pirate ne transfère tout.
De même, le blocage des NFT n'est également effectif qu'avant que les NFT ne soient vendus à un autre acheteur par le pirate. Pire encore, cette mesure de sécurité crée une série de victimes indirectes qui se retrouvent avec des NFT bloqués qui ne peuvent être ni vendus ni transférés. En effet, le temps de réponse pour les tickets remontés dans OpenSea est d'au moins un jour. Au moment où les NFT sont bloqués par OpenSea, ils auraient déjà été vendus à un autre acheteur qui devient maintenant la nouvelle victime du crime.
Dans le cas des 17 Azuki volés à Arthur0x, 15 ont été volés dans la même minute et deux ont été volés trois minutes plus tard. Le temps moyen pendant lequel ces NFT volés sont restés dans le portefeuille du pirate avant d'être vendus est de 43 minutes. Les mesures de sécurité d'OpenSea ne sont en aucun cas suffisamment réactives et rapides pour informer la victime et arrêter le pirate ; ils ne peuvent pas non plus informer les acheteurs suffisamment rapidement pour les empêcher d'acheter les NFT volés et de devenir des victimes indirectes.
Le blocage des NFT volés crée des victimes indirectes
Une victime indirecte est une personne qui n'est pas la cible du piratage mais subit indirectement les pertes financières causées par le blocage des NFT volés. Comme le montrent de nombreux hacks NFT récents, les NFT sont toujours vendus avant que le bloc ne soit mis en œuvre par OpenSea. La conséquence de bloquer les NFT trop tard est que cela crée des victimes indirectes et plus de pertes pour plus de personnes.
Pour illustrer plus en détail comment n'importe qui pourrait finir par acheter un NFT volé et devenir une victime indirecte d'un piratage, voici trois cas courants :
1 cas: Alice a acheté un NFT mais n'a découvert que plus tard qu'il s'agissait d'un bien volé. Le NFT est bloqué et Alice ne peut ni le vendre ni le transférer sur OpenSea. Elle procède ensuite à la création d'un ticket d'assistance. Après plusieurs semaines, l'équipe OpenSea Trust & Safety propose de rembourser les 2.5% de frais de plateforme ; et éventuellement l'adresse e-mail de la victime qui a signalé le vol si elle a de la chance. Ensuite, elle aura probablement une longue discussion avec la victime pour négocier la possibilité de lever le bloc, ce qui n'aboutira probablement nulle part.
Alice peut toujours vendre le NFT sur d'autres marketplaces mais le volume des ventes est très faible pour cette collection particulière et il n'y a aucun acheteur qui puisse proposer un prix équitable sur des plateformes autres qu'OpenSea.
2 cas: Alice a fait plusieurs offres tout en enchérissant sur les NFT d'une collection. L'une des offres a été acceptée par le pirate informatique, qui a ensuite reçu le paiement de l'offre dans le portefeuille de la victime et a procédé au nettoyage du portefeuille. Le NFT a été bloqué plus tard dans le cadre des actifs volés lors de transactions non autorisées par la victime.
Des cas comme celui-ci se produisent souvent parce que les NFT répertoriés ne peuvent pas être transférés à moins que la liste ne soit annulée. Le pirate informatique, qui est pressé par le temps, sera plus susceptible d'accepter une offre d'achat et d'obtenir le produit de la vente et de transférer l'argent. Le cas ci-dessous montre comment la totalité de la collection NFT de la victime indirecte a été bloquée par OpenSea sans explication.
Voici mon fil sur la façon dont @opensea déraisonnablement bloqué mon compte et gelé tous mes NFT après mon offre 40 weth pour @BoredApeYC #6267 a été accepté.
Je pense qu'il est très important de diffuser ce cas parmi la communauté NFT !
Commençons ⬇️ pic.twitter.com/xnxctpzzpL-Mpa3yka (@Mpa3yka) 10 novembre 2021
3 cas: Alice possède un NFT depuis un certain temps et tout à coup, il est bloqué et marqué comme "signalé pour activité suspecte". Le compte du vendeur n'est pas compromis et la transaction a eu lieu il y a quelque temps. Puisqu'aucune preuve n'est requise pour signaler un NFT volé et le bloquer, n'importe qui peut envoyer un e-mail à l'équipe anti-fraude d'OpenSea pour bloquer tout NFT.
Bien qu'un rapport de police puisse être demandé ultérieurement, il n'y a ni déclaration claire d'OpenSea pour spécifier les preuves nécessaires pour prouver le piratage, ni condition dans laquelle un NFT volé faussement signalé peut être identifié et retiré du bloc. Il n'y a aucune conséquence pour signaler faussement des NFT volés.
Les NFT sont souvent bloqués sans explication ni preuve, comme des rapports de police fournis à la victime indirecte. Théoriquement, ces NFT peuvent toujours être échangés sur d'autres plateformes, mais étant donné le monopole d'OpenSea sur le marché, avec 95 % du volume total des échanges de NFT, bloquer tout NFT sur OpenSea équivaut presque à les retirer définitivement du marché.
Le blocage des NFT pourrait augmenter artificiellement le prix
Le danger d'empêcher les NFT volés de se négocier sur la plus grande plate-forme NFT OpenSea est la réduction permanente de l'offre. Basé sur loi de l'offre et de la demande en théorie économique, lorsque l'offre diminue, le prix augmente.
A titre d'exemple, la collection Azuki compte 10,000 1,100 NFT et actuellement, seuls 0 17 sont en vente sur OpenSea. Le piratage Arthur17x a entraîné le vol et le blocage de 1.5. Bien que 1,100 NFT ne représentent qu'environ 22 % de l'offre en circulation de XNUMX XNUMX, le prix a déjà montré une tendance à la hausse après le piratage. Le piratage s'est produit le XNUMX mars et le prix pointu du 28 mars à 20.96 E avant l'annonce du largage le 31 mars — une augmentation de 55 % en une semaine.
Bien que tous les 17 NFT volés ne soient pas bloqués car Arthur a réussi à en récupérer en négociant avec les victimes indirectes pour les racheter, de futurs hacks sous une forme similaire se produiront continuellement et le nombre cumulé de NFT bloqués ne peut qu'augmenter à mesure que les hacks continuent et aucune procédure n'est en place pour les débloquer.
En utilisant à nouveau Azuki comme exemple, le graphique ci-dessous collecte le nombre historique de ventes et le prix moyen pour créer une courbe de demande et suppose que la courbe d'offre est linéaire. Le point où les courbes d'offre et de demande se croisent est le prix d'équilibre.
Comme l'offre diminue continuellement, la vitesse d'augmentation du prix devient plus rapide à mesure que la pente de la courbe de demande devient plus raide. Une diminution égale de 300 NFT dans l'offre de 1,000 700 à 700 contre de 400 à XNUMX entraîne une augmentation de prix plus importante pour ces derniers.
Comme le montre le graphique ci-dessous, le prix passe de 15 ETH à 21 ETH de la réduction de 1,000 700 à 21, mais augmente davantage de 28 ETH à 700 ETH de la réduction de 400 à XNUMX.
Il est clair que le blocage des NFT volés pourrait augmenter artificiellement le prix de la collecte. Si quelqu'un voulait profiter de la faille du système de sécurité OpenSea en signalant à tort de nombreux NFT de la même collection comme volés (puisqu'aucune preuve n'est requise pour signaler des NFT volés), le prix de la collection pourrait augmenter considérablement si l'offre est faible. . Cette lacune pourrait créer des opportunités de manipulation des prix sur le marché illiquide des NFT.
Dans tous les cas, le blocage des NFT n'est pas une mesure efficace pour arrêter le piratage ou punir le pirate, mais au contraire, crée plus de victimes indirectes et des échappatoires pour les manipulateurs de marché. Ce n'est certainement pas la voie à suivre, alors existe-t-il une mesure de sécurité efficace ?
Des mesures préventives et un système fondé sur des preuves doivent être en place
Le système de sécurité OpenSea actuel n'a pas mis en place de mesures préventives pour protéger les utilisateurs à l'avance. Toutes les mesures de sécurité ne sont mises en œuvre qu'après le piratage, ce qui est l'une des principales raisons pour lesquelles elles sont inefficaces.
D'après les comportements des pirates, le temps est une composante essentielle. Les mesures de sécurité qui peuvent ralentir le pirate informatique ou informer les victimes tôt sont les clés pour gagner la bataille. Voici quelques mesures préventives plus efficaces pouvant être mises en place par OpenSea :
- Créez un système d'alerte précoce capable de détecter une activité anormale du compte et d'envoyer des messages texte instantanés ou des alertes par e-mail pour informer les utilisateurs d'une telle activité afin qu'ils aient suffisamment de temps pour réagir. Par exemple, si le compte n'a jamais acheté ou transféré plus d'un NFT en une minute ; ou si le compte n'a jamais eu d'activités dans le passé pendant une période spécifique (c'est-à-dire des fuseaux horaires où l'utilisateur est endormi), l'occurrence de telles activités sera détectée par des algorithmes d'apprentissage automatique. Le titulaire du compte peut choisir d'être informé immédiatement ou d'autoriser le verrouillage automatique du compte pour des raisons de sécurité.
- Offrir aux utilisateurs la possibilité de limiter le nombre maximal de transferts ou de ventes NFT autorisés dans un délai donné, c'est-à-dire un maximum d'un transfert ou d'une vente en une minute ; ou un intervalle de temps minimum imposé entre chaque transfert ou vente, c'est-à-dire que le prochain transfert ou vente ne peut avoir lieu que 15 minutes après le précédent. Ces mesures peuvent empêcher les pirates de voler un grand nombre de NFT en une seule fois.
- Créez des tableaux de bord de comptes suspects qui permettent aux victimes d'ajouter instantanément des comptes compromis et des comptes de pirates pour un examen public. Cela donnera à tous les acheteurs des informations en temps réel sur les comptes suspects et la possibilité de vérifier si le vendeur figure sur la liste avant d'acheter. Des preuves telles qu'un rapport de police peuvent être demandées ultérieurement à la victime pour prouver que les comptes signalés sont effectivement compromis.
Certaines de ces mesures pourraient créer de fausses alarmes et des désagréments. Mais étant donné qu'il s'agit d'une course contre la montre contre le pirate en matière de mesures préventives, les utilisateurs préfèrent prévenir que guérir pour éviter de devenir la prochaine victime.
Idées fausses courantes sur le piratage de crypto
Une idée fausse courante à propos du piratage cryptographique est que "cela ne m'arrivera pas parce que ma sensibilisation à la sécurité est élevée et que j'utilise un portefeuille dur". Il est peut-être vrai qu'un piratage malveillant direct pourrait être évité grâce à de bonnes pratiques de sécurité, mais n'importe qui pourrait devenir une victime indirecte d'un piratage ciblant quelqu'un d'autre. Lorsque le nombre de hacks augmente, les chances d'en devenir une victime indirecte sont également beaucoup plus élevées.
Une autre idée fausse est que "tant que je ne garde pas trop d'argent dans mon portefeuille chaud, peu importe si le portefeuille est compromis". Ce que la plupart des utilisateurs ne réalisent pas, c'est que la perte monétaire n'est qu'une des répercussions du piratage. Perdre un portefeuille Web3, c'est comme perdre tout votre historique de crédit. Tous les avantages futurs basés sur des activités passées telles que des parachutages ou l'accès à des prêts et à un effet de levier pourraient également s'évaporer avec le portefeuille compromis.
Bien que la blockchain soit l'une des technologies financières les plus sécurisées jamais créées, les piratages malveillants vers les plates-formes cryptographiques sont la plus grande menace pour l'entreprise Web3.
Compte tenu de la nature irréversible de la blockchain et du manque de mesures de sécurité préventives d'OpenSea, il n'est pas difficile de voir la meilleure solution qu'OpenSea a trouvée après la Piratage d'enchères de domaine Ethereum est d'offrir au pirate un bénéfice de 25 % sur la vente en échange de la restitution des NFT volés. Ce n'est que dans le monde du marché NFT qu'un criminel peut être récompensé plutôt que puni pour un crime aussi grave.
En tant que monopole du marché NFT, OpenSea peut certainement faire mieux que cela et prendre les mesures de sécurité plus au sérieux et offrir plus de protection à ses utilisateurs.
Les opinions et opinions exprimées ici sont uniquement celles de l'auteur et ne reflètent pas nécessairement les opinions de Cointelegraph.com. Chaque mouvement d'investissement et de négociation implique des risques, vous devriez mener vos propres recherches lors de la prise de décision.
Source : https://cointelegraph.com/news/here-s-how-opensea-nft-hacks-hurt-owners-buyers-and-even-entire-collections