// NFT

Як Зробити NFT Безпечними?

Зміст

#1. Що таке NFT?
#2. Наскільки безпечні NFTs?
#3. Ризики безпеки на NFT-платформах
#4. Ризики безпеки на стороні користувача
#5. Як користувачам захистити свої NFTs
#6. Висновок

У листопаді 2021 року дослідники з Каліфорнійського університету в Санта-Барбарі опублікували результати першого поглибленого дослідження проблем безпеки в екосистемі NFT. Виявилося, що в галузі процвітає шахрайство, на торгових платформах чимало вразливостей, а самі користувачі нехтують елементарними правилами безпеки. Далі ми опишемо всі ці проблеми і розповімо, як маркетплейсам та користувачам зберегти свої NFTs.

Що таке NFT?

NFT - невзаємозамінний токен. Це означає, що, на відміну від біткоїнів, кожен NFT - унікальний, неподільний актив, який не можна просто обміняти на інший NFT без втрати його якості та вартості. Якщо ви купуєте товар, послугу або витвір мистецтва, не має жодного значення, яку саме доларову купюру або монету біткоїнів ви отримаєте від покупця. У цьому сенсі долари, як і біткоїни або інші криптовалюти, - це взаємозамінні монети.

Головна функція та особливість NFTs - унікальність, яку можна легко підтвердити за допомогою блокчейна, завдяки чому такі токени використовують як цифрові ідентифікатори (або ID), що підтверджують автентичність та унікальність цифрового або токенізованого фізичного активу. Зокрема, за допомогою NFTs можна автентифікувати твір цифрового мистецтва або цифровий предмет колекціонування, а також ідентифікувати його законного власника та авторські/комерційні права, якими він володіє.

NFT ecosystem scheme. It shows all market participants and their interactions

Схема екосистеми NFT, що показує всіх учасників ринку та їхню взаємодію. Джерело

Наразі більшість невзаємозамінних токенів створюється на блокчейні Ethereum або Binance Smart Chain (BSC), але є й інші блокчейни, які дозволяють карбувати NFT. Перетворити на NFT можна практично все - від фотографій і малюнків до рядків програмного коду або нерухомості.

Наскільки безпечні NFTs?

Коротка відповідь на це запитання: "Не дуже". Тож не секрет, що основна загроза безпеці для будь-якого IT-сектору - це вмотивовані опортуністи, які намагаються вкрасти будь-який цифровий або фізичний актив, що має цінність, - починаючи з грошей і закінчуючи особистим листуванням людей. І хоча NFT-ринок усе ще перебуває в зародковому стані, швидке зростання капіталізації та популярності привернуло в цей сектор безліч хакерів і шахраїв.

Наприклад, у березні 2021 року зловмисники зламали кілька акаунтів користувачів на Nifty Gateway - популярній NFT-платформі. Хакери змогли не тільки вкрасти раніше куплені NFTs, а й використовувати банківські картки жертв для купівлі нових NFTs, які потім також було вкрадено. І хоча згодом грошові кошти повернули користувачам, вкрадені NFTs були загублені - зловмисники швидко продали їх на іншому популярному маркетплейсі.

Інший вектор загрози для безпеки NFT - фішинг. Так, зовсім нещодавно найбільша криптовалютна біржа Coinbase повідомила про те, що шахраї змогли вкрасти гроші у більш ніж 6 000 її користувачів за допомогою простих фішингових електронних листів. Шахраї маскували свої листи під повідомлення біржі про підозрілі входи в обліковий запис Coinbase. Користувачеві рекомендували відкрити посилання та надати логін і пароль для входу. Якщо він переходив за посиланням і вказував свої логін і пароль, зловмисники отримували доступ до облікового запису користувача на Coinbase і крали гроші з його гаманця.

Ці два приклади показують, що і NFT-маркетплейси, і користувачі не застраховані від крадіжки невзаємозамінних токенів. Тому і ті, й інші повинні зробити все, щоб убезпечити NFTs у своїх гаманцях.

Ризики безпеки на NFT-платформах

Підтримка апаратних гаманців. Провідні апаратні гаманці зазвичай мають підтримку NFT, але, на жаль, далеко не всі NFT-маркетплейси дозволяють своїм клієнтам використовувати такі пристрої безпосередньо. Це або заборонено, або потрібно робити через програмний гаманець, що створює незручності для клієнтів, змушуючи їх робити додаткові кроки, які можуть заплутати або призвести до помилок, і цим обмежити прийняття більш безпечного варіанту зберігання NFTs.

Розв'язання цієї проблеми безпеки зберігання NFTs очевидне: NFT-платформи (маркетплейси, відеоігри, галереї тощо) просто повинні реалізувати підтримку всіх популярних апаратних гаманців, які можуть зберігати NFTs.

Прозорість смарт-контрактів (торгових та інших). Смарт-контракти, що використовуються NFT-платформами, відповідають за обробку платежів та управління невзаємозамінними токенами. Отже, вони мають цінність для хакерів та інших зловмисників, тому такі смарт-контракти потрібно робити на базі відкритого вихідного коду і віддавати їх на перевірку незалежним аудиторам.

На жаль, це роблять далеко не всі майданчики. Наприклад, торгові смарт-контракти Sorare - це закрите програмне забезпечення. Rarible у цьому питанні є гібридним майданчиком: деякі його смарт-контракти відкриті, тоді як інші - ні. Еталоном у цьому питанні можна вважати OpenSea, оскільки їхні контракти не тільки відкриті, а й пройшли перевірку незалежними аудиторами. Тож, якщо хочете тримати свої NFTs у безпеці, торгуйте на OpenSea.

Політика перевірки автентичності. Предмети мистецтва в реальному світі досить часто використовують у схемах відмивання грошей. Використання NFT може спростити цей процес, оскільки токени можуть бути викарбувані анонімними користувачами, і водночас вони не мають жодних складнощів із транспортуванням, як фізичні твори мистецтва. І хоча багато криптобірж, наприклад, Binance і Coinbase, запровадили процедуру KYC (Знай свого клієнта) і впровадили заходи AML/CFT (Боротьба з відмиванням грошей/Финансуванням тероризму), жодна платформа NFT не зробила жодних кроків до забезпечення дотримання правил KYC/AML/CFT.

Передача права власності на активи. Під час торгівлі NFTs на онлайн-маркетплейсах передача права власності на актив від продавця покупцеві зазвичай здійснюється або за допомогою посередника, або через смарт-контракт умовного депонування. У першому випадку безпека NFT під загрозою, оскільки цей посередник може або сам вкрасти гроші і токени, або його пристрій може бути зламаний хакером або заражений шкідливим софтом.

Модель з умовним депонуванням також може нести ризики, оскільки безпека грошей і токенів залежатиме від безпеки (коду) контракту умовного депонування. А оскільки NFT-платформи часто обробляють таку угоду поза ланцюжком блокчейна заради економії газу, злом такого контракту - це цілком імовірний сценарій. Проте депонування - все ж таки безпечніший спосіб здійснення угоди купівлі-продажу NFTs.

Модель торгівлі з контрактом умовного депонування використовує Nifty Gateway, тоді як Rarible і OpenSea використовують модель з оператором-посередником.

Децентралізація ринкових операцій. Коли NFT-активи виставляються на продаж на торговельних платформах, вони часто переміщуються в гаманець торговельної платформи. У цьому випадку торгова платформа ніби зберігає NFTs на умовному депонуванні, що відбувається поза ланцюжком блокчейна. Тобто з того моменту, коли продавець передає свої NFTs маркетплейсу, і до завершення продажу всі операції невидимі для блокчейна. Це порушує принцип децентралізації і робить весь процес купівлі-продажу NFTs небезпечним для всіх сторін.

Из этого следует, что, если вы хотите обезопасить свои NFTs, используйте платформы, которые не имеют доступа к закрытым ключам и не требуют переноса актива на свой кошелек (как это делает Nifty Gateway). Если же вы хотите создать свою NFT-платформу, то убедитесь, что вы не нарушаете принцип децентрализации и не подвергаете активы ваших пользователей ненужным рискам безопасности.

Проверка ввода данных сделки. Приложения маркетплейсов NFTs — это пользовательские (Front-end) части системы, которые взаимодействуют с серверной частью и смарт-контрактами (Back-end). В ходе операции купли-продажи они должны договориться между собой о проверке входных данных. То есть каждый параметр, который интерфейс получает от пользователя, должен быть проверен либо самим приложением, либо смарт-контрактом. Пренебрежение или плохая реализация проверки параметров могут привести к потере NFT или денег (крипты).

Например, в одном из отчетов об ошибке при использовании интерфейса сайта OpenSea для подарка NFT пользователь вводил «псевдоним» получателя на рынке вместо своего адреса Ethereum. Из-за отсутствия проверок на правильность ввода адреса получателя NFT был отправлен на несуществующий адрес и утерян.

Редактируемые метаданные. Метаданные в NFT — это то, что токен представляет, например, файл с фотографией, музыкальной композицией или текстом пьесы. Стандарт ERC-721 допускает возможность изменения метаданных токена, что также является угрозой для безопасности актива. Например, если NFT представляет собой произведение искусства, то в токене обычно прописывается ссылка на файл с изображением, видео или аудио. В этом случае злонамеренный создатель NFT может изменить метаданные и сделать токен бесполезным.

Сделать это можно двумя способами: изменив metadata_url в самом токене или изменив сами метаданные. И даже если первый способ заблокирован на уровне смарт-контракта, метаданные, размещенные на сторонних доменах, все равно возможно изменить или даже уничтожить. Достаточно купить или взломать этот домен.

Первый тип атаки, как мы уже сказали, можно предотвратить, указав в смарт-контракте запрет на изменение metadata_url. Риск успеха второй атаки можно снизить, разместив метаданные в IPFS. Плюс IPFS в том, что URL-адрес файла с метаданными, хранящегося в IPFS, включает хэш его содержимого, следовательно, метаданные не могут быть изменены без изменения URL, записанного в NFT.

Чтобы обезопасить свои NFTs от этой угрозы, используйте для торговли такие площадки, как CryptoPunks, Rarible, Foundation и Nifty Gateway. Их токен-контракты не допускают изменения metadata_url для NFT. А вот у Xie с этим есть проблемы, так как его токен-контракты позволяет создателю изменять URL-адрес в любое время. OpenSea, SuperRare и Sorare позволяют создателю изменить metadata_url до первой продажи. При этом только Foundation требует хранения метаданных IPFS.

Ризики безпеки на стороні користувача

Створення контрафактного NFT. Справжність NFT підтримується смарт-контрактом, що керує колекцією. Тому, перш ніж купувати актив, рекомендується перевірити адресу контракту колекції на офіційних джерелах, наприклад, на веб-сторінці проєкту. На жаль, покупці дуже рідко це роблять, а часто навіть не знають, що таким чином можна перевірити NFT. Натомість вони покладаються на назву і зовнішній вигляд лотів на маркетплейсах, що дає змогу зловмисникам пропонувати підроблені та непрацюючі NFTs.

Зазвичай для такого обману використовуються такі способи:

Схожі імена колекцій. В інтернеті вже досить багато фальшивих NFTs, які використовують назву колекції або окремого твору, що нагадує назву оригіналу. Найпоширеніший трюк у цьому виді шахрайства - заміна символів ASCII в оригінальній назві на символи, які не є ASCII, але виглядають так само. Також можна просто замінити англійську "C" на російську "С", і ніхто не помітить різниці.

Щоб обмежити таке шахрайство, OpenSea обмежує своїх користувачів від використання популярних назв колекцій і певних спеціальних символів. Однак це обмеження легко обійти, додавши крапку (.) наприкінці назви або замінивши прописний символ дрібним регістром, перетворивши, наприклад, CryptoWizards на Cryptowizards.

Ідентичні URL-адреси зображень. Деякі фальшиві NFTs вказують на наявні активи, тобто вони просто копіюють mage_url справжніх NFTs. Наприклад, шахрай може розгорнути свій смарт-контракт і викарбувати токени, які вказують на відому колекцію CryptoPunks. Якщо покупець просто подивиться на зовнішній вигляд лотів і не перевірить їхню справжність, він може помилково прийняти NFT за оригінали.

Простих способів убезпечити себе від такого шахрайства немає, оскільки зараз практично немає способів перевірити, хто і де розміщує свої токени, якщо тільки це не якась знаменитість або досить відомий токен. Найкращим засобом безпеки в цьому випадку, напевно, будуть система репутації та впровадження механізмів верифікації продавця (процедура KYC).

Схожі зображення. Ще один варіант створити фальшивий NFT - скопіювати цифровий актив (зображення, відео, аудіо), а потім викарбувати NFT, який вказує на цю копію. Цей вид шахрайства на ринку NFT дуже популярний через свою простоту і доступність. Особливо багато таких токенів на платформах, які дозволяють безкоштовно карбувати NFT.

На даний момент жоден майданчик не виконує перевірку схожості активів, щоб визначити, чи використовувався файл мультимедіа в інших NFTs. Тому таку перевірку повинні робити самі користувачі за допомогою Google або інших механізмів визначення схожості контенту.

Соціальна інженерія (фішинг). Це узагальнена назва для різних практик психологічного маніпулювання користувачем з метою змусити його виконати певні дії або розкрити конфіденційну інформацію. Простіше кажучи, це всілякі хитрощі, які дають змогу шахраям отримати гроші, паролі, банківські дані, секрети або іншу інформацію жертв без безпосереднього злому їхнього комп'ютера чи смартфона. На відміну від звичайного шахрайства, соціальна інженерія вимагає безлічі кроків і підготовки.

Вище ми вже писали, як шахраї розсилали фальшиві імейли нібито від служби підтримки біржі Coinbase, щоб виманити аутентифікаційні дані користувачів. Це, мабуть, найпоширеніший вид фішингу, який вимагає від шахрая підготовки листа для розсилки і сайту/додатку, на який буде надсилатися цей лист, щоб виманити логін і пароль жертви.

Але це не єдиний варіант. Так, шахраї часто створюють фальшиві додатки, маскуючись під відомі гаманці, біржі та маркетплейси. Причому часто такі фальшивки проходять перевірку Google Play і App Store.

Ще один вид фішингу - підвести до встановлення ПЗ, усередині якого буде вірус або кейлогер, зазвичай для цього шахрай зв'язується з жертвою через соціальні мережі або месенджер і якимось чином переконує завантажити та витягти захищений паролем ZIP-файл з Google.Диска. Захист паролем гарантує, що сканування на віруси Google.Диска не може проникнути у вміст ZIP-файлу (шахрай дасть пароль безпосередньо під час спілкування, наприклад у Twitter).

Після того, як жертва витягнула файл і запустила шкідливу установку, шкідливий код заразить систему, і коли жертва запустить, наприклад, гаманець Metamask, шахрай зможе перехопити її логін і пароль, ця інформація разом з початковою фразою користувача (яка зберігається на комп'ютері в сховищі розширень вашого браузера), дасть змогу хакеру (-ам) вкрасти всі токени користувача. Якщо гаманець ще й під'єднаний до банківської картки, то і ці гроші також будуть вкрадені.

Як користувачам захистити свої NFTs

Увімкніть двофакторну аутентифікацію. Найважливіше, що користувачі повинні зробити для захисту своїх NFTs, - негайно ввімкнути багатофакторну аутентифікацію (MFA). Як показує статистика зломів найрізноманітніших платформ у найрізноманітніших галузях, зловмисники майже завжди крадуть гроші або дані користувачів, які не використовують цю функцію. Наприклад, в описаному вище випадку злому Nifty Gateway у всіх жертв було відключено MFA. Те ж саме можна сказати і про крадіжку грошей шляхом фішингових листів у користувачів Coinbase.

Використовуйте складний, довгий пароль для входу. Не можна недооцінювати переваги надійного пароля, особливо в поєднанні з MFA. У вас має бути пароль достатньої довжини і складності, який не використовується в інших облікових записах. Найкраще, якщо це буде набір випадкових чисел і символів, які згенерує якась програма на кшталт тієї, що використовується в Google Chrome для автоматичної генерації складних паролів під час реєстрації десь.

Зберігайте фразу для відновлення в надійному місці. По-перше, ніколи не зберігайте вихідну фразу свого гаманця в цифровому вигляді. Це означає, що вам не можна робити фото смартфоном або записувати її в текстовий файл, зберігати на жорсткому диску. Зберігати її в додатку для зберігання ключів із паролями також не варто. Усе це можна зламати або скомпрометувати, і ви втратите NFTs.

Найкраще для цього використовувати паперовий або навіть титановий носій (на зразок Crypto Tag.io) і при цьому використовувати метод зберігання під назвою RAID. Він передбачає чергування інформації на трьох різних жорстких дисках, наприклад, якщо файл складається з трьох розділів, то перший розділ буде зберігатися на першому жорсткому диску, другий - на другому, третій - на третьому. Зрозуміло, для зберігання Seed-фрази потрібно використовувати папір та чергувати слова.

An example of storing a Seed phrase according to RAID


Приклад зберігання Seed-фрази за допомогою способу RAID.


Регулярно робіть резервну копію свого гаманця. Так ви зможете без проблем відновити свої дані в разі збою системи або втрати пристрою. Хороша ідея - створити кілька резервних копій і зберігати їх одразу на 3 або 5 носіях, а ще краще, якщо один або два будуть зовнішніми жорсткими дисками без підключення до комп'ютера та інтернету. Це якнайкраще убезпечить ваші NFTs.

Регулярно оновлюйте своє програмне забезпечення. Найчастіші оновлення програмного забезпечення - це виправлення його безпеки. Тому або увімкніть автоматичне оновлення вашого гаманця, антивіруса, операційної системи, поштового клієнта та інших програм, або поставте собі за правило самостійно перевіряти наявність оновлень кожні кілька днів.

Використовуйте безпечне підключення до інтернету. Використання загальнодоступного Wi-Fi спрощує зловмиснику крадіжку вашої інформації. Тож, якщо вам потрібно використовувати загальнодоступний Wi-Fi, скористайтеся додатком для шифрування даних і VPN для захисту вашого з'єднання. Крім того, також бажано увімкнути невидимість вашого пристрою і вимкнути Bluetooth.

Висновок

Ринок NFT дуже цікавий і перспективний, але водночас він також і досить ризикований. Щоб зберегти свої NFTs, переконайтеся, що ви використовуєте надійні гаманці та маркетплейси для управління своїми активами, а також дотримуєтеся викладених вище інструкцій. Завдяки цьому ви убезпечите свої активи від шахраїв і збоїв сайтів а також програм, які ви використовуєте.

Відгуки наших клієнтів

Розробка гнучної екосистеми на основі технології блокчейн

Запитання консультанту

Ім'я *
Email *
Телефон
Повідомлення
 

Виникли питання?

Telegram

З 2015 року ми допомагаємо втілити ідеї клієнтів в якісний продукт.