Невзаимозаменяемые токены (
Итак, можно ли взломать NFT? Простой ответ – Да.
Любой блокчейн-актив, доступный онлайн, может быть взломан. В этой статье мы рассмотрим наиболее распространенные способы кражи NFT хакерами и то, как вы можете защитить свои NFT от хакерских атак.
Рост числа хакерских атак на блокчейн
За последнее десятилетие участились атаки на блокчейн-сети. Согласно отчету Crystal Blockchain за 2021 год, с 2011 года было украдено блокчейн-активов на сумму около 12 миллиардов долларов. Опубликованная статистика свидетельствует о постоянном росте числа нападений на протяжении многих лет.
В 2021 году были украдены активы на сумму примерно 7,1 миллиарда долларов. Это был существенный скачок по сравнению с 4,8 миллиардами долларов, зафиксированными в 2020 году.
Как хакеры крадут NFT
Крипто-хакеры используют множество методов для кражи активов NFT. Ниже приводится разбивка некоторых распространенных методов.
Использование веб-крючков (Webhooks)
Webhooks – это настраиваемые функции API, которые позволяют отслеживать онлайн-свойства и могут быть настроены для развертывания при выполнении определенных условий. Веб-книги в онлайн-крипто- и блокчейн-сообществах обычно используются для отправки уведомлений в реальном времени и регулярно становятся мишенью злоумышленников, стремящихся обмануть доверчивых пользователей.
Злоумышленники перехватывают их, чтобы отправлять обманчивые уведомления, предназначенные для того, чтобы обманом заставить пользователей раскрыть свои ключи кошелька NFT или перевести свои активы.
В декабре 2021 года канал Fractal marketplace Discord стал мишенью хакеров, которые воспользовались интерфейсом webbook канала. Злоумышленникам удалось обманом заставить участников раздавать свои монеты
Хотя взлом длился всего около 10 минут, было украдено более 800 монет
Monkey Kingdom, еще один проект NFT, основанный на Solana, также стал жертвой аналогичной схемы Discord webhook в тот же период. По сообщениям, преступникам сошли с рук монеты Solana на сумму около 1,3 миллиона долларов.
Неспособность активировать 2FA
Хакеры все чаще нацеливаются на пользователей NFT, не имеющих надежных гарантий безопасности кошельков, особенно на пользователей, которые хранят свои активы на горячих кошельках в маркетплейсах. Судя по недавним аналитическим отчетам, значительное число инвесторов NFT пренебрегают активацией стандартных функций безопасности, таких как двухфакторная аутентификация (2FA).
Без этого дополнительного уровня безопасности, хакеры могут легко взломать учетные записи NFT маркетплейсов, используя поддельные учетные данные для входа и методы грубой силы.
Одна платформа NFT, у которой в результате этого недосмотра были одновременно взломаны некоторые учетные записи пользователей, – это Nifty. Атака, произошедшая в марте 2021 года, затронула пользователей, которые не смогли активировать функцию безопасности своей учетной записи 2FA. Расследование атаки показало, что хакеры использовали действительные учетные данные для входа в учетные записи.
Большинство учетных записей NFT marketplace имеют функцию 2FA. Процедура проверки требует, чтобы пользователи вводили код, который отправляется на их связанный номер телефона или адрес электронной почты. Каждый код 2FA уникален и предназначен только для одноразового использования.
Фишинговые схемы
Киберпреступники иногда используют фишинговые схемы для кражи NFT. Новейшие методы фишинга не только нацелены на учетные данные пользователя, но и автоматизируют доступ к учетной записи путем изменения разрешений смарт-контракта.
Вникая в детали того, как работают фишинговые атаки, хакеры, использующие этот метод, создают веб-сайт, похожий на тот, который регулярно используется целью. Жертв обычно обманывают, заставляя перейти по ссылке на веб-сайт и ввести свои учетные данные для входа. Эта информация записывается с помощью скриптов, встроенных на поддельный веб-сайт, а затем используется хакерами для доступа к учетным записям жертв на реальном веб-сайте.
Фишинговые схемы, нацеленные на кошельки NFT, также используют более продвинутую технику, называемую ice-фишингом. Вместо того, чтобы вводить учетные данные на поддельном веб–сайте, пользователей просто обманом заставляют подключить свой
Одним из самых странных аспектов, связанных с этой категорией атак, является то, что
Печально известный взлом OpenSea в феврале 2022 года является примером тщательно продуманной схемы фишинга ice. Это привело к краже сотен NFT у десятков пользователей платформы. Было разграблено более 250 NFT на сумму около 1,7 миллиона долларов. Сообщается, что хакер обманом заставил жертв подписать
Централизированные ключи
Некоторые сети NFT являются централизованными. Это означает, что администратор обрабатывает сетевые ключи. Тот, кто имеет к ним доступ, может передавать активы из системы с минимальными проблемами.
В то время как, значительное число проектов NFT утверждают, что они децентрализованы, многие из них таковыми не являются, и это представляет риск для инвесторов, поскольку ключи являются центральной точкой отказа, которая может привести к значительным потерям в случае компрометации.
В ситуации на рынке NFT, хакеры могут использовать сетевые ключи для массового взлома подключенных кошельков NFT.
Как защитить ваши NFT от хакерских атак
Ниже приводится краткое описание некоторых проверенных и проверенных способов защиты активов NFT.
Используйте аппаратный кошелек
Маркетплейсы NFT предоставляют клиентам горячий кошелек для хранения и торговли активами. Горячие кошельки удобны для торговли NFT, поскольку большинство сложных транзакционных процедур автоматизированы.
Однако, горячие кошельки более рискованны в использовании по сравнению с холодными кошельками, потому что они всегда онлайн. Это делает их более открытыми для кибератак. Таким образом, использование аппаратного кошелька идеально подходит, особенно для пользователей с дорогостоящими активами.
Аппаратные кошельки хранят ключи кошелька NFT в автономном режиме. Эта стратегия предотвращает онлайн-перехват закрытых ключей субъектами угроз. Аппаратные кошельки используют передовую технологию шифрования, усиленную защищенной архитектурой чипа для повышения безопасности.
Тем не менее, аппаратные кошельки с самым высоким рейтингом, такие как Ledger и Trezor, совместимы с надежными сторонними поставщиками программных кошельков, такими как MetaMask и MyEtherWallet. Аппаратные кошельки защищают секретные ключи даже при подключении к этим приложениям и незащищенным устройствам.
В случаях, когда программные кошельки синхронизируются с аппаратными кошельками, пользователи могут инициировать сделки через программные кошельки, но требуется одобрение с использованием аппаратного кошелька.
Используйте надежный NFT MARKETPLACE
При работе с NFT, лучше всего использовать надежные торговые площадки с высоким рейтингом доверия. Анализ предварительных проверок, проведенных сертифицированными сторонними фирмами по кибербезопасности, выявит их слабые стороны. Устоявшиеся платформы NFT обычно имеют высокий балл доверия.
Эта должная осмотрительность имеет решающее значение, поскольку платформы NFT в значительной степени зависят от кода. Например, продажа NFT влечет за собой запуск нескольких смарт-контрактов для аутентификации передачи права собственности. Плохо закодированные смарт-контракты могут привести к потере активов, поскольку они подвержены эксплойтам.
Как правило, торговые площадки, управляемые проверенными командами, считаются более безопасными, поскольку они обеспечивают подотчетность в случае хакерской атаки и обычно компенсируют пользователям потерю средств из-за системной атаки. Они также менее предрасположены к мошенническим схемам.
Предотвращение фишинговых атак
Хакеры обычно используют фишинговые атаки для получения учетных данных учетной записи NFT. Одним из самых основных шагов, которые необходимо предпринять для предотвращения подобных атак, является установка антивирусного программного обеспечения с функциями защиты от фишинга. Антифишинговые системы предназначены для обнаружения и блокирования фишинговых веб-доменов с использованием различных методов.
Некоторые средства защиты от фишинга способны сканировать веб-контент на наличие вредоносных сценариев сбора данных, чтобы определить, безопасен ли веб-сайт.
Также, рекомендуется не переходить по ссылкам, отправленным по электронной почте, через социальные сети или мгновенные сообщения, особенно если они получены из неизвестного источника.
Кроме того, следует избегать веб-сайтов, использующих HTTP (протокол передачи гипертекста). Это связано с тем, что они не зашифрованы, и вредоносные объекты могут перехватывать данные, введенные на таких веб-сайтах.
Сайты, использующие защищенный протокол передачи гипертекста (HTTPS), являются стандартом для защиты онлайн-информации. Они способны помешать распространенным уловкам перехвата данных, таким как атаки типа “человек посередине” (MitM).
Наконец, пользователи NFT должны привыкнуть менять пароли своих учетных записей. Это не позволяет хакерам успешно использовать повторно используемые пароли для взлома учетных записей.
Хакеры используют многочисленные векторы атак для взлома NFT. К счастью, торговые площадки NFT начинают разрабатывать более безопасные торговые среды и модернизировать свои системы для предотвращения вторжений. Тем не менее, эксперты прогнозируют, что количество блокчейн-атак, включая NFT, будет продолжать расти в последующие годы в соответствии с ростом внедрения.