NFT : nouvelles cibles de fraude

L'automatisation de la fraude exige de meilleures défenses, à commencer par l'identité numérique.

J'ai acheté un jeton non fongible (NFT) l'autre jour. Je l'ai acheté sur OpenSea, l'un des principaux marchés NFT. Si vous êtes intéressé par l'art, il s'agit d'un dessin animé de la talentueuse artiste Helen Holmes. Au cas où vous seriez intéressé par la spéculation, c'est celui que j'ai acheté. Il fait partie de sa collection "originaux" et est maintenant fièrement exposé dans mon portefeuille crypto.com à la vue de tous.

J'ai chargé Helen de dessiner les caricatures que j'utilise pour illustrer mes articles ici, donc je sais pertinemment qu'elle est réelle, que les caricatures sont des originaux créés par elle et que j'ai le droit de les utiliser en raison de notre propre accord. Et, je suis heureux de dire que si quelqu'un achète l'un de ses NFT, l'argent lui revient, l'artiste méritante. En fin de compte, cela fait de "mon" NFT l'un des rares exemples légitimes de certains, car le mois dernier, OpenSea a déclaré que plus de 80% des NFT créés gratuitement sur la plate-forme sont "œuvres plagiées, fausses collections et spam" .

(Je dis "mon" NFT, bien que possédant un NFT ne me donne aucun droit dans la propriété intellectuelle sous-jacente, qui appartient toujours à Helen, ou un accès unique à l'image elle-même que n'importe qui peut télécharger simplement en cliquant avec le bouton droit sur l'image ci-dessus.)

Même les NFT qui ne sont pas des faux et des fraudes sont souvent douteux, c'est le moins qu'on puisse dire. J'inclus dans cette catégorie le NFT d'une radiographie d'un des survivants du massacre du Bataclane à Paris, qui a été mise en vente par le chirurgien qui l'a soignée ! Et ce n'est pas quelque chose à voir avec OpenSea, c'est quelque chose à voir avec l'ensemble du marché.

En fait, « marché » n'est probablement pas le bon mot, car une étude récente constaté que « les 10 % des principaux traders effectuent à eux seuls 85 % de toutes les transactions et négocient au moins une fois 97 % de tous les actifs ». En regardant les chiffres, les 10% des «paires acheteurs-vendeurs» les plus performantes sont aussi actives que tous les autres combinés. C'est un terrain de jeu presque entièrement capturé par les baleines.

Lorsque la plate-forme qui a vendu le NFT du tout premier tweet de Jack Dorsey pour trois millions de dollars américains arrête la plupart des transactions parce que les créateurs contrefaits vendaient des jetons de contenu qui ne leur appartenaient pas, alors je pense que nous pouvons tous convenir qu'il y a un problème fondamental avec le commerce des actifs numériques.

Innovation

Il semble que les NFT fournissent une plate-forme pour l'innovation dans la fraude ainsi que l'innovation dans les œuvres créatives. L'un des types les plus courants est ce que l'on appelle le «wash trading», où des groupes de fraudeurs échangent un NFT entre eux, pour un prix de plus en plus élevé, jusqu'à ce que quelqu'un qui ne fait pas partie du groupe et qui pense que le prix est réel (dans le langage courant de la banque d'investissement anglaise, ces individus sont connus sous le nom de "mug parieurs") intervient pour acheter "l'art". À ce stade, le groupe a divisé le produit entre eux, rincé et répété.

(Cette fraude, où les vendeurs sont les deux parties de la vente, est endémique. Et il ne s'agit pas seulement de certains cryptobros pillant le public en gonflant à tort la valeur des NFT. Le Trésor américain a déjà exprimé sa crainte que l'activité puisse être utilisée pour blanchiment d'argent.)

OpenSea a récemment été dépassé en volume par LooksRare. LooksRare récompense financièrement les utilisateurs pour leur volume de transactions, ce qui signifie, comme on pouvait s'y attendre, que des voleurs jouent avec le système. Société d'analyse cryptographique CryptoSlam estimé que environ 87% du volume total des transactions depuis le lancement sont en fait des transactions fictives.

(Wash trading de NFT, selon un détail Étude d'analyse en chaîne de la question, présente une asymétrie intéressante : la plupart des commerçants n'ont pas été rentables, mais ceux qui ont réussi ont tellement profité que, dans l'ensemble, le groupe a énormément profité.)

Cela dit, les NFT sont une plate-forme d'innovation en matière de fraude, je suis obligé d'admettre que j'admire parfois l'ingéniosité de certains des pirates/exploiteurs de crypto qui ont trouvé du travail dans ce nouveau monde. Prenons, par exemple, la "faille" OpenSea qui a été exploitée parce que certains propriétaires de NFT ignoraient que leurs anciennes listes de vente étaient toujours actives. Ces anciennes listes ont été retrouvées et les NFT ont été achetés. Cela a conduit à la perte de plusieurs NFT coûteux à des prix défiant toute concurrence. 

(Le problème était que les NFT étaient vendus à d'anciens prix d'offre alors que les NFT avaient beaucoup moins de valeur. Pour donner un exemple précis, un attaquant a payé un total de 133,000 XNUMX $ pour sept NFT avant de les vendre rapidement pour 934,000 XNUMX $ en ETH. Cinq heures plus tard, les gains mal acquis ont été envoyés via Tornado Cash, un service de "mélange" utilisé pour empêcher le traçage des fonds par la blockchain.)

Comme Tom Robinson de la société d'analyse blockchain Elliptic expliqué, cette fraude ingénieuse (bien que je dois dire, pas si complexe) a ensuite conduit à encore plus de fraude car OpenSea a envoyé un e-mail aux utilisateurs qui avaient encore d'anciennes listes NFT, et étaient donc sensibles à cette fraude. Cependant, l'annulation de l'ancienne liste nécessitait une transaction ETH, de sorte que les enthousiastes indépendants et entreprenants de la finance alternative à l'origine de la fraude initiale ont ensuite créé des robots pour rechercher ces transactions particulières et les lancer pour acheter les NFT avant l'annulation de la liste.

(En d'autres termes, en essayant d'être utile et en disant aux utilisateurs d'annuler les listes vulnérables, le marché a fourni précisément les informations dont les auteurs ont besoin pour automatiser leurs attaques.)

Échelle et portée

Toutes les fraudes ne sont pas particulièrement complexes. Une énorme quantité d'argent a été perdue à cause de fraudes très basiques telles que le "rug pull", par lequel des ingénieurs innovants en crypto-monnaie annoncent la sortie d'un nouvel actif numérique fabuleux qui fera des choses incroyables à l'avenir, augmentera sa valeur de 100 fois en un rien de temps. temps et guérir le cancer sur le chemin. Le public répond avec enthousiasme et inonde les émetteurs d'argent, à quel point les émetteurs disparaissent, supprimant leur site Web, le chat Telegram et les faux profils LinkedIn en cours de route. Le public laisse les chats virtuels sortir des sacs virtuels et découvre qu'il ne leur reste rien.

(SingeJizz était une arnaque ! Qui savait!)

Il y a cependant des fraudes qui profitent davantage de la nature de la nouvelle infrastructure. Le «pot de miel» en est un exemple. Dans un pot de miel, le programmeur des contrats intelligents qui contrôlent un nouveau jeton insère un code de porte dérobée pour s'assurer que seul son propre portefeuille peut réellement vendre ! Tous ceux qui achètent des jetons constatent que leur argent est coincé dans le pot de miel tandis que l'escroc qui a créé le contrat intelligent peut encaisser à tout moment.

La mention des pots de miel nous emmène dans de nouveaux domaines. Bon nombre des fraudes les plus notables qui abondent impliquent des projets de financement décentralisé, ou DeFi, avec plus de 10 milliards de dollars perdus à cause du vol et de la fraude DeFi, comme le montre un rapport Elliptic de novembre. Et ce n'est que le début à mon avis, car la capacité d'automatiser la fraude dans l'espace DeFi est un développement fascinant et terrifiant.

(La fraude automatisée ne se limite pas au monde du Web3, bien sûr. PayPal a récemment fermé 4.5 millions de comptes et abaissé ses prévisions de nouveaux clients après avoir découvert que des fermes de robots exploitaient ses incitations. Ils avaient offert 10 $ comme incitation à ouvrir de nouveaux comptes, à à quel point les bots ont commencé à cultiver les champs PayPal au lieu des personnes. Comme je l'ai toujours soutenu, un jour, l'identifiant IS-A-PERSON sera l'identifiant le plus précieux de tous.)

En ce qui concerne le web3, l'intersection des contrats intelligents pleins d'erreurs de programmation, de crypto-monnaies et d'anonymat est un tout nouveau terrain de jeu pour les fraudeurs, les terroristes et les farceurs. La combinaison de l'automatisation et de la complexité est toxique et doit être abordée dès le départ. Je déteste le dire encore une fois, mais la voie à suivre passe par une infrastructure d'identité numérique fonctionnelle et adaptée au 21e siècle. Peut-être que DeFi (en s'appuyant sur des informations d'identification vérifiables et des preuves à connaissance nulle), plutôt que CeFi (en s'appuyant sur des identités fédérées et des attributs partagés), pourrait lancer une infrastructure d'identité qui deviendra à son tour son héritage durable.