// NFT

Как Сделать NFT Безопасными?

В ноября 2021 года исследователи из Калифорнийского университета в Санта-Барбаре опубликовали результаты первого углубленного исследования проблем безопасности в экосистеме NFT. Как оказалось, в отрасли процветает мошенничество, на торговых платформах полно уязвимостей, а сами пользователи пренебрегают элементарными правилами безопасности. Дальше мы опишем все эти проблемы и расскажем, как маркетплейсам и пользователям сохранить свои NFTs.

Что такое NFT?

NFT — невзаимозаменяемый токен. Это означает, что, в отличие от биткоинов, каждый NFT — уникальный, неделимый актив, который нельзя просто обменять на другой NFT без потери его качества и стоимости. Если вы покупаете товар, услугу или произведение искусства, не имеет никакого значения, какую именно долларовую купюру или монету биткоинов вы получите от покупателя. В этом смысле доллары, как и биткоины или другие криптовалюты, — это взаимозаменяемые монеты.

Главная функция и особенность NFTs — уникальность, которую можно легко подтвердить с помощью блокчейна, благодаря чему такие токены используют в качестве цифровых идентификаторов (или ID), которые подтверждают подлинность и уникальность цифрового или токенизированного физического актива. В частности, с помощью NFTs можно аутентифицировать произведение цифрового искусства или цифровой предмет коллекционирования, а также идентифицировать его законного владельца и авторские/коммерческие права, которыми он обладает.

Схема экосистемы NFT, показывающая всех участников рынка и их взаимодействие

Схема экосистемы NFT, показывающая всех участников рынка и их взаимодействие. Источник.

В настоящее время большинство невзаимозаменяемых токенов создается на блокчейне Ethereum или Binance Smart Chain (BSC), но есть и другие блокчейны, которые позволяют чеканить NFT. Превратить в NFT можно практически все — от фотографий и рисунков до строчек программного кода или недвижимости.

Насколько безопасны NFTs?

Краткий ответ на этот вопрос: «Не очень». Не секрет, что основная угроза безопасности для любого IT-сектора — это мотивированные оппортунисты, которые пытаются украсть любой цифровой или физический актив, имеющий ценность, — начиная с денег и заканчивая личной перепиской людей. И хотя NFT-рынок все еще находится в зачаточном состоянии, быстрый рост капитализации и популярности привлек в этот сектор множество хакеров и мошенников.

Например, в марте 2021 года злоумышленники взломали несколько аккаунтов пользователей на Nifty Gateway — популярной NFT-платформе. Хакеры смогли не только украсть ранее купленные NFTs, но и использовать банковские карточки жертв для покупки новых NFTs, которые затем также были украдены. И хотя со временем денежные средства вернули пользователям, украденные NFTs были утеряны — злоумышленники быстро продали их на другом популярном маркетплейсе.

Другой вектор угрозы для безопасности NFT — фишинг. Так, совсем недавно крупнейшая криптовалютная биржа Coinbase сообщила о том, что мошенники смогли украсть деньги у более чем 6 000 ее пользователей с помощью простых фишинговых электронных писем. Мошенники маскировали свои письма под уведомление биржи о подозрительных входах в учетную запись Coinbase. Пользователю рекомендовали открыть ссылку и предоставить логин и пароль для входа. Если он переходил по ссылке и указывал свои логин и пароль, злоумышленники получали доступ к аккаунту пользователя на Coinbase и воровали деньги с его кошелька.

Эти два примера показывают, что и NFT-маркетплейсы, и пользователи не застрахованы от кражи невзаимозаменяемых токенов. Поэтому и те, и другие должны сделать все, чтобы обезопасить NFTs в своих кошельках.

Риски безопасности на NFT-платформах

Поддержка аппаратных кошельков

Ведущие аппаратные кошельки обычно имеют поддержку NFT, но, увы, далеко не все NFT-маркетплейсы позволяют своим клиентам использовать такие устройства напрямую. Это либо запрещено, либо нужно делать через программный кошелек, что создает неудобства для клиентов, заставляя их делать дополнительные шаги, которые могут запутать или привести к ошибкам, и этим ограничить принятие более безопасного варианта хранения NFTs.

Решение этой проблемы безопасности хранения NFTs очевидно: NFT-платформы (маркетплейсы, видеоигры, галереи и т. д.) просто должны реализовать поддержку всех популярных аппаратных кошельков, которые могут хранить NFTs.

Прозрачность смарт-контрактов (торговых и других)

Смарт-контракты, используемые NFT-платформами, отвечают за обработку платежей и управление невзаимозаменяемыми токенами. Следовательно, они имеют ценность для хакеров и других злоумышленников, поэтому такие смарт-контракты нужно делать на базе открытого исходного кода и отдавать их на проверку независимым аудиторам.

К сожалению, это делают далеко не все площадки. Например, торговые смарт-контракты Sorare — это закрытое программное обеспечение. Rarible в этом вопросе является гибридной площадкой: некоторые его смарт-контракты открытые, тогда как другие – нет. Эталоном в этом вопросе можно считать OpenSea, поскольку их контракты не только открытые, но и прошли проверку независимыми аудиторами. Так что, если хотите держать свои NFTs в безопасности, торгуйте на OpenSea.

Политика проверки подлинности

Предметы искусства в реальном мире достаточно часто используются в схемах отмывания денег. Использование NFT может упростить этот процесс, так как токены могут быть отчеканены анонимными пользователями, и при этом у них нет никаких сложностей с транспортировкой, как физических произведений искусства. И хотя многие криптобиржи, например, Binance и Coinbase, ввели процедуру KYC (Знай своего клиента) и внедрили меры AML/CFT (Борьба с отмыванием денег / Финансированием терроризма), ни одна платформа NFT не сделала никаких шагов к обеспечению соблюдения правил KYC/AML/CFT.

Передача права собственности на активы

При торговле NFTs на онлайн-маркетплейсах передача права собственности на актив от продавца покупателю обычно осуществляется либо с помощью посредника, либо через смарт-контракт условного депонирования. В первом случае безопасность NFT под угрозой, так как этот посредник может либо сам украсть деньги и токены, либо его устройство может быть взломано хакером или заражено вредоносным софтом.

Модель с условным депонированием также может нести риски, поскольку безопасность денег и токенов будет зависеть от безопасности (кода) контракта условного депонирования. А так как NFT-платформы часто обрабатывают такую сделку вне цепочки блокчейна ради экономии газа, взлом такого контракта — это вполне вероятный сценарий. Тем не менее депонирование — все же более безопасный способ осуществления сделки купли-продажи NFTs.

Модель торговли с контрактом условного депонирования использует Nifty Gateway, тогда как Rarible и OpenSea используют модель с оператором-посредником.

Децентрализация рыночных операций

Когда NFT-активы выставляются на продажу на торговых платформах, они часто перемещаются в кошелек торговой платформы. В этом случае торговая платформа как бы хранит NFTs на условном депонировании, что происходит вне цепочки блокчейна. То есть с того момента, когда продавец передает свои NFTs маркетплейсу, и до завершения продажи все операции невидимы для блокчейна. Это нарушает принцип децентрализации и делает весь процесс купли-продажи NFTs небезопасным для всех сторон.

Из этого следует, что, если вы хотите обезопасить свои NFTs, используйте платформы, которые не имеют доступа к закрытым ключам и не требуют переноса актива на свой кошелек (как это делает Nifty Gateway). Если же вы хотите создать свою NFT-платформу, то убедитесь, что вы не нарушаете принцип децентрализации и не подвергаете активы ваших пользователей ненужным рискам безопасности.

Проверка ввода данных сделки

Приложения маркетплейсов NFTs — это пользовательские (Front-end) части системы, которые взаимодействуют с серверной частью и смарт-контрактами (Back-end). В ходе операции купли-продажи они должны договориться между собой о проверке входных данных. То есть каждый параметр, который интерфейс получает от пользователя, должен быть проверен либо самим приложением, либо смарт-контрактом. Пренебрежение или плохая реализация проверки параметров могут привести к потере NFT или денег (крипты).

Например, в одном из отчетов об ошибке при использовании интерфейса сайта OpenSea для подарка NFT пользователь вводил «псевдоним» получателя на рынке вместо своего адреса Ethereum. Из-за отсутствия проверок на правильность ввода адреса получателя NFT был отправлен на несуществующий адрес и утерян.

Редактируемые метаданные

Метаданные в NFT — это то, что токен представляет, например, файл с фотографией, музыкальной композицией или текстом пьесы. Стандарт ERC-721 допускает возможность изменения метаданных токена, что также является угрозой для безопасности актива. Например, если NFT представляет собой произведение искусства, то в токене обычно прописывается ссылка на файл с изображением, видео или аудио. В этом случае злонамеренный создатель NFT может изменить метаданные и сделать токен бесполезным.

Сделать это можно двумя способами: изменив metadata_url в самом токене или изменив сами метаданные. И даже если первый способ заблокирован на уровне смарт-контракта, метаданные, размещенные на сторонних доменах, все равно возможно изменить или даже уничтожить. Достаточно купить или взломать этот домен.

Первый тип атаки, как мы уже сказали, можно предотвратить, указав в смарт-контракте запрет на изменение metadata_url. Риск успеха второй атаки можно снизить, разместив метаданные в IPFS. Плюс IPFS в том, что URL-адрес файла с метаданными, хранящегося в IPFS, включает хэш его содержимого, следовательно, метаданные не могут быть изменены без изменения URL, записанного в NFT.

Чтобы обезопасить свои NFTs от этой угрозы, используйте для торговли такие площадки, как CryptoPunks, Rarible, Foundation и Nifty Gateway. Их токен-контракты не допускают изменения metadata_url для NFT. А вот у Xie с этим есть проблемы, так как его токен-контракты позволяет создателю изменять URL-адрес в любое время. OpenSea, SuperRare и Sorare позволяют создателю изменить metadata_url до первой продажи. При этом только Foundation требует хранения метаданных IPFS.

Риски безопасности на стороне пользователя

Создание контрафактного NFT

Подлинность NFT поддерживается смарт-контрактом, управляющим коллекцией. Поэтому, прежде чем покупать актив, рекомендуется проверить адрес контракта коллекции на официальных источниках, например, веб-странице проекта. К сожалению, покупатели очень редко это делают, а часто даже не знают, что таким образом можно проверить NFT. Вместо этого они полагаются на название и внешний вид лотов на маркетплейсах, что позволяет злоумышленникам предлагать поддельные и неработающие NFTs.

Обычно для такого обмана используются следующие способы:

  • Похожие имена коллекций. В интернете уже довольно много фальшивых NFTs, которые используют название коллекции или отдельного произведения, напоминающего название оригинала. Самый распространенный трюк в этом виде мошенничества — замена символов ASCII в оригинальном названии на символы, не являющиеся ASCII, но выглядящие так же. Также можно просто заменить английскую «C» на российскую «С», и никто не заметит разницу.
Чтобы ограничить такое мошенничество, OpenSea ограничивает своих пользователей от использования популярных названий коллекций и определенных специальных символов. Однако это ограничение легко обойти, добавив точку (.) в конце названия или заменив прописной символ мелким регистром, превратив, например CryptoWizards в Cryptowizards.
  • Идентичные URL-адреса изображений. Некоторые фальшивые NFTs указывают на существующие активы, то есть они просто копируют mage_url настоящих NFTs. Например, мошенник может развернуть свой смарт-контракт и отчеканить токены, которые указывают на известную коллекцию CryptoPunks. Если покупатель просто посмотрит на внешний вид лотов и не проверит их подлинность, он может ошибочно принять NFT за оригиналы.
Простых способов защититься от такого мошенничества нет? так как сейчас практически нет способов проверить, кто и где размещает свои токены, если только это не какая-то знаменитость или достаточно известный токен. Лучшим средством безопасности в этом случае, наверное, будут система репутации и внедрение механизмов верификации продавца (процедура KYC).
  • Похожие изображения. Еще один вариант создать фальшивый NFT — скопировать цифровой актив (изображение, видео, аудио), а затем отчеканить NFT, который указывает на эту копию. Данный вид мошенничества на рынке NFT очень популярен из-за своей простоты и доступности. Особенно много таких токенов на платформах, которые позволяют бесплатно чеканить NFT.
На данный момент ни одна площадка не выполняет проверку сходства активов, чтобы определить, использовался ли файл мультимедиа в других NFTs. Поэтому такую проверку должны делать сами пользователи с помощью Google или других механизмов определения схожести контента.

Социальная инженерия (фишинг)

Это обобщенное название для различных практик психологического манипулирования пользователем с целью заставить его выполнить определенные действия или раскрыть конфиденциальную информацию. Проще говоря, это всевозможные уловки, которые позволяют мошенникам получить деньги, пароли, банковские данные, секреты или другую информацию жертв без непосредственного взлома их компьютера или смартфона. В отличие от обычного жульничества, социальная инженерия требует множества шагов и подготовки.

Выше мы уже писали, как мошенники рассылали фальшивые имейлы якобы от службы поддержки биржи Coinbase, чтобы выманить аутентификационные данные пользователей. Это, пожалуй, самый распространенный вид фишинга, которые требует от мошенника подготовки письма для рассылки и сайта/приложения, на который будет посылаться это письмо, чтобы выманить логин и пароль жертвы.

Но это не единственный вариант. Так, мошенники часто создают фальшивые приложения, маскируясь под известные кошельки, биржи и маркетплейсы. Причем часто такие фальшивки проходят проверку Google Play и App Store.

Еще один вид фишинга — подвести к установке ПО, внутри которого будет вирус или кейлоггер.Обычно для этого мошенник связывается с жертвой через социальные сети или мессенджер и каким-то образом убеждает загрузить и извлечь защищенный паролем ZIP-файл с Google.Диска. Защита паролем гарантирует, что сканирование на вирусы Google.Диска не может проникнуть в содержимое ZIP-файла (мошенник даст пароль непосредственно во время общения, например в Twitter).

После того как жертва извлекла файл и запустила вредоносную установку, вредоносный код заразит систему, и когда жертва запустит, например, кошелек Metamask, мошенник сможет перехватить ее логин и пароль.Эта информация вместе с исходной фразой пользователя (которая хранится на компьютере в хранилище расширений вашего браузера), позволит хакеру (-ам) украсть все токены пользователя. Если кошелек еще и подключен к банковской карте, то и эти деньги также будут украдены.

Как пользователям защитить свои NFTs

Включите двухфакторную аутентификацию

Самое важное, что пользователи должны сделать для защиты своих NFTs, — немедленно включить многофакторную аутентификацию (MFA). Как показывает статистика взломов самых разных платформ в самых разных отраслях, злоумышленники почти всегда воруют деньги или данные пользователей, которые не используют эту функцию. Например, в описанном выше случае взлома Nifty Gateway у всех жертв была отключена MFA. То же самое можно сказать и про кражу денег путем фишинговых писем у пользователей Coinbase.

Используйте сложный, длинный пароль для входа

Нельзя недооценивать преимущества надежного пароля, особенно в сочетании с MFA. У вас должен быть пароль достаточной длины и сложности, который не используется в других учетных записях. Лучше всего, если это будет набор случайных чисел и символов, которые сгенерирует некая программа наподобие той, что используется в Google Chrome для автоматической генерации сложных паролей при регистрации где-то.

Храните фразу для восстановления в надежном месте

Во-первых, никогда не храните исходную фразу своего кошелька в цифровом виде. Это означает, что вам нельзя делать фото смартфоном или записывать ее в текстовый файл, сохранять на жестком диске. Сохранять ее в приложении для хранения ключей с паролями также не стоит. Все это можно взломать или скомпрометировать, и вы потеряете NFTs.

Лучше всего для этого использовать бумажный или даже титановый носитель (наподобие CryptoTag.io) и при этом использовать метод хранения под названием RAID. Он предполагает чередование информации на трех разных жестких дисках, например, если файл состоит из трех разделов, то первый раздел будет храниться на первом жестком диске, второй – на втором, третий — на третьем. Разумеется, для хранения Seed-фразы нужно использовать бумагу и чередовать слова.

Пример хранения Seed-фразы с помощью способа RAID

Пример хранения Seed-фразы с помощью способа RAID

Регулярно делайте резервную копию своего кошелька

Так вы сможете без проблем восстановить свои данные в случае сбоя системы или потери устройства. Хорошая идея — создать несколько резервных копий и хранить их сразу на 3 или 5 носителях, и лучше всего, если один или два будут внешними жесткими дисками без подключения к компьютеру и интернету. Это больше всего обезопасит ваши NFTs.

Регулярно обновляйте свое программное обеспечение

Самые частые обновления программного обеспечения — это исправления его безопасности. Поэтому либо включите автоматическое обновление вашего кошелька, антивируса, операционной системы, почтового клиента и других программ, либо поставьте себе за правило самостоятельно проверять наличие обновлений каждые пару дней.

Используйте безопасное подключение к интернету

Использование общедоступного Wi-Fi упрощает злоумышленнику кражу вашей информации. Так что, если вам нужно использовать общедоступный Wi-Fi, воспользуйтесь приложением для шифрования данных и VPN для защиты вашего соединения. Кроме того, также желательно включить невидимость вашего устройства и отключить Bluetooth.

Заключение

Рынок NFT очень интересный и перспективный, но вместе с этим он также и довольно рискованный. Чтобы сохранить свои NFTs, убедитесь, что вы используете надежные кошельки и маркетплейсы для управления своими активами, а также следуете изложенным выше инструкциям. Таким образом вы обезопасите свои активы от мошенников и сбоев сайтов и программ, которые вы используйте.

Есть вопросы? Задайте их здесь

Имя *
Email *
Телефон
Ваш бюджет
Сообщение