Невзаимозаменяемые токены (NFT) в настоящее время в моде, поскольку криптоинвесторы изо всех сил пытаются вложить деньги в новый новый инвестиционный инструмент. Поскольку NFT основаны на блокчейне, который использует сложную технологию шифрования, существует распространенное мнение, что эти активы “не поддаются взлому”.
Итак, можно ли взломать NFT? Простой ответ – Да.
Любой блокчейн-актив, доступный онлайн, может быть взломан. В этой статье мы рассмотрим наиболее распространенные способы кражи NFT хакерами и то, как вы можете защитить свои NFT от хакерских атак.
Рост числа хакерских атак на блокчейн
За последнее десятилетие участились атаки на блокчейн-сети. Согласно отчету Crystal Blockchain за 2021 год, с 2011 года было украдено блокчейн-активов на сумму около 12 миллиардов долларов. Опубликованная статистика свидетельствует о постоянном росте числа нападений на протяжении многих лет.
В 2021 году были украдены активы на сумму примерно 7,1 миллиарда долларов. Это был существенный скачок по сравнению с 4,8 миллиардами долларов, зафиксированными в 2020 году.
Как хакеры крадут NFT
Крипто-хакеры используют множество методов для кражи активов NFT. Ниже приводится разбивка некоторых распространенных методов.
Использование веб-крючков (Webhooks)
Webhooks – это настраиваемые функции API, которые позволяют отслеживать онлайн-свойства и могут быть настроены для развертывания при выполнении определенных условий. Веб-книги в онлайн-крипто- и блокчейн-сообществах обычно используются для отправки уведомлений в реальном времени и регулярно становятся мишенью злоумышленников, стремящихся обмануть доверчивых пользователей.
Злоумышленники перехватывают их, чтобы отправлять обманчивые уведомления, предназначенные для того, чтобы обманом заставить пользователей раскрыть свои ключи кошелька NFT или перевести свои активы.
В декабре 2021 года канал Fractal marketplace Discord стал мишенью хакеров, которые воспользовались интерфейсом webbook канала. Злоумышленникам удалось обманом заставить участников раздавать свои монеты Solana, разместив поддельное объявление о NFT mint. Сюжет был успешным из-за слабых протоколов защиты канала от спуфинга.
Хотя взлом длился всего около 10 минут, было украдено более 800 монет Solana стоимостью около 150 000 долларов.
Monkey Kingdom, еще один проект NFT, основанный на Solana, также стал жертвой аналогичной схемы Discord webhook в тот же период. По сообщениям, преступникам сошли с рук монеты Solana на сумму около 1,3 миллиона долларов.
Неспособность активировать 2FA
Хакеры все чаще нацеливаются на пользователей NFT, не имеющих надежных гарантий безопасности кошельков, особенно на пользователей, которые хранят свои активы на горячих кошельках в маркетплейсах. Судя по недавним аналитическим отчетам, значительное число инвесторов NFT пренебрегают активацией стандартных функций безопасности, таких как двухфакторная аутентификация (2FA).
Без этого дополнительного уровня безопасности, хакеры могут легко взломать учетные записи NFT маркетплейсов, используя поддельные учетные данные для входа и методы грубой силы.
Одна платформа NFT, у которой в результате этого недосмотра были одновременно взломаны некоторые учетные записи пользователей, – это Nifty. Атака, произошедшая в марте 2021 года, затронула пользователей, которые не смогли активировать функцию безопасности своей учетной записи 2FA. Расследование атаки показало, что хакеры использовали действительные учетные данные для входа в учетные записи.
Большинство учетных записей NFT marketplace имеют функцию 2FA. Процедура проверки требует, чтобы пользователи вводили код, который отправляется на их связанный номер телефона или адрес электронной почты. Каждый код 2FA уникален и предназначен только для одноразового использования.
Фишинговые схемы
Киберпреступники иногда используют фишинговые схемы для кражи NFT. Новейшие методы фишинга не только нацелены на учетные данные пользователя, но и автоматизируют доступ к учетной записи путем изменения разрешений смарт-контракта.
Вникая в детали того, как работают фишинговые атаки, хакеры, использующие этот метод, создают веб-сайт, похожий на тот, который регулярно используется целью. Жертв обычно обманывают, заставляя перейти по ссылке на веб-сайт и ввести свои учетные данные для входа. Эта информация записывается с помощью скриптов, встроенных на поддельный веб-сайт, а затем используется хакерами для доступа к учетным записям жертв на реальном веб-сайте.
Фишинговые схемы, нацеленные на кошельки NFT, также используют более продвинутую технику, называемую ice-фишингом. Вместо того, чтобы вводить учетные данные на поддельном веб–сайте, пользователей просто обманом заставляют подключить свой кошелек к настроенному приложению – обычно для “получения вознаграждения”. Приложение, однако, изменяет разрешения кошелька, чтобы разрешить перевод всех активов из кошелька на адрес, контролируемый хакером.
Одним из самых странных аспектов, связанных с этой категорией атак, является то, что хакер может решить подождать, пока в кошельке не будет достаточно средств, прежде чем выполнять перевод. Это затрудняет для неопытных пользователей определение того, когда и как произошла атака, поскольку данные для входа в систему не сообщаются. Однако анализ подписанных журналов разрешений выявит эти детали.
Печально известный взлом OpenSea в феврале 2022 года является примером тщательно продуманной схемы фишинга ice. Это привело к краже сотен NFT у десятков пользователей платформы. Было разграблено более 250 NFT на сумму около 1,7 миллиона долларов. Сообщается, что хакер обманом заставил жертв подписать смарт-контракт, одобряющий частную продажу ему их активов по цене 0 ETH.
Централизированные ключи
Некоторые сети NFT являются централизованными. Это означает, что администратор обрабатывает сетевые ключи. Тот, кто имеет к ним доступ, может передавать активы из системы с минимальными проблемами.
В то время как, значительное число проектов NFT утверждают, что они децентрализованы, многие из них таковыми не являются, и это представляет риск для инвесторов, поскольку ключи являются центральной точкой отказа, которая может привести к значительным потерям в случае компрометации.
В ситуации на рынке NFT, хакеры могут использовать сетевые ключи для массового взлома подключенных кошельков NFT.
Как защитить ваши NFT от хакерских атак
Ниже приводится краткое описание некоторых проверенных и проверенных способов защиты активов NFT.
Используйте аппаратный кошелек
Маркетплейсы NFT предоставляют клиентам горячий кошелек для хранения и торговли активами. Горячие кошельки удобны для торговли NFT, поскольку большинство сложных транзакционных процедур автоматизированы.
Однако, горячие кошельки более рискованны в использовании по сравнению с холодными кошельками, потому что они всегда онлайн. Это делает их более открытыми для кибератак. Таким образом, использование аппаратного кошелька идеально подходит, особенно для пользователей с дорогостоящими активами.
Аппаратные кошельки хранят ключи кошелька NFT в автономном режиме. Эта стратегия предотвращает онлайн-перехват закрытых ключей субъектами угроз. Аппаратные кошельки используют передовую технологию шифрования, усиленную защищенной архитектурой чипа для повышения безопасности.
Тем не менее, аппаратные кошельки с самым высоким рейтингом, такие как Ledger и Trezor, совместимы с надежными сторонними поставщиками программных кошельков, такими как MetaMask и MyEtherWallet. Аппаратные кошельки защищают секретные ключи даже при подключении к этим приложениям и незащищенным устройствам.
В случаях, когда программные кошельки синхронизируются с аппаратными кошельками, пользователи могут инициировать сделки через программные кошельки, но требуется одобрение с использованием аппаратного кошелька.
Используйте надежный NFT MARKETPLACE
При работе с NFT, лучше всего использовать надежные торговые площадки с высоким рейтингом доверия. Анализ предварительных проверок, проведенных сертифицированными сторонними фирмами по кибербезопасности, выявит их слабые стороны. Устоявшиеся платформы NFT обычно имеют высокий балл доверия.
Эта должная осмотрительность имеет решающее значение, поскольку платформы NFT в значительной степени зависят от кода. Например, продажа NFT влечет за собой запуск нескольких смарт-контрактов для аутентификации передачи права собственности. Плохо закодированные смарт-контракты могут привести к потере активов, поскольку они подвержены эксплойтам.
Как правило, торговые площадки, управляемые проверенными командами, считаются более безопасными, поскольку они обеспечивают подотчетность в случае хакерской атаки и обычно компенсируют пользователям потерю средств из-за системной атаки. Они также менее предрасположены к мошенническим схемам.
Предотвращение фишинговых атак
Хакеры обычно используют фишинговые атаки для получения учетных данных учетной записи NFT. Одним из самых основных шагов, которые необходимо предпринять для предотвращения подобных атак, является установка антивирусного программного обеспечения с функциями защиты от фишинга. Антифишинговые системы предназначены для обнаружения и блокирования фишинговых веб-доменов с использованием различных методов.
Некоторые средства защиты от фишинга способны сканировать веб-контент на наличие вредоносных сценариев сбора данных, чтобы определить, безопасен ли веб-сайт.
Также, рекомендуется не переходить по ссылкам, отправленным по электронной почте, через социальные сети или мгновенные сообщения, особенно если они получены из неизвестного источника.
Кроме того, следует избегать веб-сайтов, использующих HTTP (протокол передачи гипертекста). Это связано с тем, что они не зашифрованы, и вредоносные объекты могут перехватывать данные, введенные на таких веб-сайтах.
Сайты, использующие защищенный протокол передачи гипертекста (HTTPS), являются стандартом для защиты онлайн-информации. Они способны помешать распространенным уловкам перехвата данных, таким как атаки типа “человек посередине” (MitM).
Наконец, пользователи NFT должны привыкнуть менять пароли своих учетных записей. Это не позволяет хакерам успешно использовать повторно используемые пароли для взлома учетных записей.
Хакеры используют многочисленные векторы атак для взлома NFT. К счастью, торговые площадки NFT начинают разрабатывать более безопасные торговые среды и модернизировать свои системы для предотвращения вторжений. Тем не менее, эксперты прогнозируют, что количество блокчейн-атак, включая NFT, будет продолжать расти в последующие годы в соответствии с ростом внедрения.