Написать нам
Категория: Криптовалюта
11.12.2021

Как Сделать NFT Безопасными?

Хотите сделать nft безопасным?
Компания Merehead занимается криптовалютной и блокчейн разработкой. Свяжитесь с нами и получите бесплатную консультацию! Поговорить с Менеджером
В ноября 2021 года исследователи из Калифорнийского университета в Санта-Барбаре опубликовали результаты первого углубленного исследования проблем безопасности в экосистеме NFT. Как оказалось, в отрасли процветает мошенничество, на торговых платформах полно уязвимостей, а сами пользователи пренебрегают элементарными правилами безопасности. Дальше мы опишем все эти проблемы и расскажем, как маркетплейсам и пользователям сохранить свои NFTs.

Что такое NFT?



NFT — невзаимозаменяемый токен. Это означает, что, в отличие от биткоинов, каждый NFT — уникальный, неделимый актив, который нельзя просто обменять на другой NFT без потери его качества и стоимости. Если вы покупаете товар, услугу или произведение искусства, не имеет никакого значения, какую именно долларовую купюру или монету биткоинов вы получите от покупателя. В этом смысле доллары, как и биткоины или другие криптовалюты, — это взаимозаменяемые монеты.



Главная функция и особенность NFTs — уникальность, которую можно легко подтвердить с помощью блокчейна, благодаря чему такие токены используют в качестве цифровых идентификаторов (или ID), которые подтверждают подлинность и уникальность цифрового или токенизированного физического актива. В частности, с помощью NFTs можно аутентифицировать произведение цифрового искусства или цифровой предмет коллекционирования, а также идентифицировать его законного владельца и авторские/коммерческие права, которыми он обладает.





Схема экосистемы NFT, показывающая всех участников рынка и их взаимодействие. Источник.


В настоящее время большинство невзаимозаменяемых токенов создается на блокчейне Ethereum или Binance Smart Chain (BSC), но есть и другие блокчейны, которые позволяют чеканить NFT. Превратить в NFT можно практически все — от фотографий и рисунков до строчек программного кода или недвижимости.

Насколько безопасны NFTs?



Краткий ответ на этот вопрос: «Не очень». Не секрет, что основная угроза безопасности для любого IT-сектора — это мотивированные оппортунисты, которые пытаются украсть любой цифровой или физический актив, имеющий ценность, — начиная с денег и заканчивая личной перепиской людей. И хотя NFT-рынок все еще находится в зачаточном состоянии, быстрый рост капитализации и популярности привлек в этот сектор множество хакеров и мошенников.



Например, в марте 2021 года злоумышленники взломали несколько аккаунтов пользователей на Nifty Gateway — популярной NFT-платформе. Хакеры смогли не только украсть ранее купленные NFTs, но и использовать банковские карточки жертв для покупки новых NFTs, которые затем также были украдены. И хотя со временем денежные средства вернули пользователям, украденные NFTs были утеряны — злоумышленники быстро продали их на другом популярном маркетплейсе.



Другой вектор угрозы для безопасности NFT — фишинг. Так, совсем недавно крупнейшая криптовалютная биржа Coinbase сообщила о том, что мошенники смогли украсть деньги у более чем 6 000 ее пользователей с помощью простых фишинговых электронных писем. Мошенники маскировали свои письма под уведомление биржи о подозрительных входах в учетную запись Coinbase. Пользователю рекомендовали открыть ссылку и предоставить логин и пароль для входа. Если он переходил по ссылке и указывал свои логин и пароль, злоумышленники получали доступ к аккаунту пользователя на Coinbase и воровали деньги с его кошелька.



Эти два примера показывают, что и NFT-маркетплейсы, и пользователи не застрахованы от кражи невзаимозаменяемых токенов. Поэтому и те, и другие должны сделать все, чтобы обезопасить NFTs в своих кошельках.

Риски безопасности на NFT-платформах



Поддержка аппаратных кошельков



Ведущие аппаратные кошельки обычно имеют поддержку NFT, но, увы, далеко не все NFT-маркетплейсы позволяют своим клиентам использовать такие устройства напрямую. Это либо запрещено, либо нужно делать через программный кошелек, что создает неудобства для клиентов, заставляя их делать дополнительные шаги, которые могут запутать или привести к ошибкам, и этим ограничить принятие более безопасного варианта хранения NFTs.



Решение этой проблемы безопасности хранения NFTs очевидно: NFT-платформы (маркетплейсы, видеоигры, галереи и т. д.) просто должны реализовать поддержку всех популярных аппаратных кошельков, которые могут хранить NFTs.



Прозрачность смарт-контрактов (торговых и других)



Смарт-контракты, используемые NFT-платформами, отвечают за обработку платежей и управление невзаимозаменяемыми токенами. Следовательно, они имеют ценность для хакеров и других злоумышленников, поэтому такие смарт-контракты нужно делать на базе открытого исходного кода и отдавать их на проверку независимым аудиторам.



К сожалению, это делают далеко не все площадки. Например, торговые смарт-контракты Sorare — это закрытое программное обеспечение. Rarible в этом вопросе является гибридной площадкой: некоторые его смарт-контракты открытые, тогда как другие – нет. Эталоном в этом вопросе можно считать OpenSea, поскольку их контракты не только открытые, но и прошли проверку независимыми аудиторами. Так что, если хотите держать свои NFTs в безопасности, торгуйте на OpenSea.



Политика проверки подлинности



Предметы искусства в реальном мире достаточно часто используются в схемах отмывания денег. Использование NFT может упростить этот процесс, так как токены могут быть отчеканены анонимными пользователями, и при этом у них нет никаких сложностей с транспортировкой, как физических произведений искусства. И хотя многие криптобиржи, например, Binance и Coinbase, ввели процедуру KYC (Знай своего клиента) и внедрили меры AML/CFT (Борьба с отмыванием денег / Финансированием терроризма), ни одна платформа NFT не сделала никаких шагов к обеспечению соблюдения правил KYC/AML/CFT.



Передача права собственности на активы



При торговле NFTs на онлайн-маркетплейсах передача права собственности на актив от продавца покупателю обычно осуществляется либо с помощью посредника, либо через смарт-контракт условного депонирования. В первом случае безопасность NFT под угрозой, так как этот посредник может либо сам украсть деньги и токены, либо его устройство может быть взломано хакером или заражено вредоносным софтом.



Модель с условным депонированием также может нести риски, поскольку безопасность денег и токенов будет зависеть от безопасности (кода) контракта условного депонирования. А так как NFT-платформы часто обрабатывают такую сделку вне цепочки блокчейна ради экономии газа, взлом такого контракта — это вполне вероятный сценарий. Тем не менее депонирование — все же более безопасный способ осуществления сделки купли-продажи NFTs.



Модель торговли с контрактом условного депонирования использует Nifty Gateway, тогда как Rarible и OpenSea используют модель с оператором-посредником.



Децентрализация рыночных операций



Когда NFT-активы выставляются на продажу на торговых платформах, они часто перемещаются в кошелек торговой платформы. В этом случае торговая платформа как бы хранит NFTs на условном депонировании, что происходит вне цепочки блокчейна. То есть с того момента, когда продавец передает свои NFTs маркетплейсу, и до завершения продажи все операции невидимы для блокчейна. Это нарушает принцип децентрализации и делает весь процесс купли-продажи NFTs небезопасным для всех сторон.



Из этого следует, что, если вы хотите обезопасить свои NFTs, используйте платформы, которые не имеют доступа к закрытым ключам и не требуют переноса актива на свой кошелек (как это делает Nifty Gateway). Если же вы хотите создать свою NFT-платформу, то убедитесь, что вы не нарушаете принцип децентрализации и не подвергаете активы ваших пользователей ненужным рискам безопасности.



Проверка ввода данных сделки



Приложения маркетплейсов NFTs — это пользовательские (Front-end) части системы, которые взаимодействуют с серверной частью и смарт-контрактами (Back-end). В ходе операции купли-продажи они должны договориться между собой о проверке входных данных. То есть каждый параметр, который интерфейс получает от пользователя, должен быть проверен либо самим приложением, либо смарт-контрактом. Пренебрежение или плохая реализация проверки параметров могут привести к потере NFT или денег (крипты).



Например, в одном из отчетов об ошибке при использовании интерфейса сайта OpenSea для подарка NFT пользователь вводил «псевдоним» получателя на рынке вместо своего адреса Ethereum. Из-за отсутствия проверок на правильность ввода адреса получателя NFT был отправлен на несуществующий адрес и утерян.



Редактируемые метаданные



Метаданные в NFT — это то, что токен представляет, например, файл с фотографией, музыкальной композицией или текстом пьесы. Стандарт ERC-721 допускает возможность изменения метаданных токена, что также является угрозой для безопасности актива. Например, если NFT представляет собой произведение искусства, то в токене обычно прописывается ссылка на файл с изображением, видео или аудио. В этом случае злонамеренный создатель NFT может изменить метаданные и сделать токен бесполезным.



Сделать это можно двумя способами: изменив metadata_url в самом токене или изменив сами метаданные. И даже если первый способ заблокирован на уровне смарт-контракта, метаданные, размещенные на сторонних доменах, все равно возможно изменить или даже уничтожить. Достаточно купить или взломать этот домен.



Первый тип атаки, как мы уже сказали, можно предотвратить, указав в смарт-контракте запрет на изменение metadata_url. Риск успеха второй атаки можно снизить, разместив метаданные в IPFS. Плюс IPFS в том, что URL-адрес файла с метаданными, хранящегося в IPFS, включает хэш его содержимого, следовательно, метаданные не могут быть изменены без изменения URL, записанного в NFT.



Чтобы обезопасить свои NFTs от этой угрозы, используйте для торговли такие площадки, как CryptoPunks, Rarible, Foundation и Nifty Gateway. Их токен-контракты не допускают изменения metadata_url для NFT. А вот у Xie с этим есть проблемы, так как его токен-контракты позволяет создателю изменять URL-адрес в любое время. OpenSea, SuperRare и Sorare позволяют создателю изменить metadata_url до первой продажи. При этом только Foundation требует хранения метаданных IPFS.

Риски безопасности на стороне пользователя



Создание контрафактного NFT



Подлинность NFT поддерживается смарт-контрактом, управляющим коллекцией. Поэтому, прежде чем покупать актив, рекомендуется проверить адрес контракта коллекции на официальных источниках, например, веб-странице проекта. К сожалению, покупатели очень редко это делают, а часто даже не знают, что таким образом можно проверить NFT. Вместо этого они полагаются на название и внешний вид лотов на маркетплейсах, что позволяет злоумышленникам предлагать поддельные и неработающие NFTs.



Обычно для такого обмана используются следующие способы:

Написать нам
Имя*:
Email*:
Сообщение: