Hacking NFT trên OpenSea gây hại cho người dùng và hạ thấp danh tiếng của nền tảng

Hacking NFT trên OpenSea gây hại cho người dùng và hạ thấp danh tiếng của nền tảng

Thị trường NFT đã bùng nổ kể từ mùa hè năm 2021 và khi giá tăng chóng mặt, số lượng các vụ hack nhằm vào loại tài sản này cũng tăng theo.

Vụ hack mới nhất được biết đến đã lấy đi số NFT trị giá khoảng 600 ETH từ Arthur0x, người sáng lập DeFiance Capital, sau đó được bán cho OpenSea.

Báo cáo về tiền điện tử Chainlysis cho năm 2022 nhấn mạnh rằng giá được gửi từ các địa chỉ bất hợp pháp đến thị trường NFT sẽ tăng đáng kể vào năm 2021, đạt khoảng 1,4 triệu đô la. Đồng thời, số lượng tiền bị đánh cắp được gửi đến các thị trường NFT đã tăng lên rõ ràng.

NFT 1

Tổng giá trị bất hợp pháp đến với nền tảng NFT Nguồn: Chainalysis

Khi giá trị bất hợp pháp của các nền tảng NFT tăng lên nhanh chóng, câu hỏi đặt ra là liệu các biện pháp và quy trình bảo mật có được áp dụng hay không, và nếu có thì những biện pháp này có hiệu quả trong việc bảo vệ chủ sở hữu hay không?

Hãy cùng phân tích nền tảng NFT lớn nhất của OpenSea và các biện pháp bảo mật của chúng.

Các biện pháp bảo mật trong OpenSea không bảo vệ người dùng

OpenSea có 2 biện pháp bảo mật chính được kích hoạt sau khi “hack” tài khoản – khóa tài khoản bị hack và khóa NFT bị đánh cắp. Hai biện pháp này rất kém hiệu quả khi được cân nhắc kỹ lưỡng.

Việc chặn tài khoản có thể được thực hiện trên trang web OpenSea mà không cần sự chấp thuận của con người, trong khi việc chặn NFT bao gồm một quá trình báo cáo kéo dài và chờ phản hồi từ Bộ phận hỗ trợ của OpenSea.

Trong trường hợp hacker xâm nhập vào ví và đang trong quá trình di chuyển NFT, việc khóa tài khoản sẽ chỉ có hiệu lực nếu nó được thực hiện trước khi hacker xóa mọi thứ.

Tương tự, khóa NFT chỉ áp dụng trước khi tin tặc bán NFT cho người mua khác. Điều tồi tệ hơn, biện pháp bảo mật này dẫn đến một loạt nạn nhân gián tiếp đã mua NFT nhưng không thể bán hoặc chuyển nó sau đó. Thông thường, thời gian trả lời thư trong OpenSea là ít nhất một ngày. Vào thời điểm NFT bị OpenSea chặn, chúng đã được bán cho một người mua khác, người hiện đã trở thành nạn nhân mới của tội phạm.

Trong trường hợp 17 Azuki bị đánh cắp từ Arthur0x, 15 trong số chúng bị đánh cắp trong cùng một phút và 2 Azuki còn lại bị đánh cắp trong 3 phút. Thời gian trung bình những NFT này ở trong ví của tin tặc trước khi chúng được bán là 43 phút. Các biện pháp bảo mật từ OpenSea không phản hồi và không đủ nhanh để thông báo cho nạn nhân và ngăn chặn tin tặc. Họ cũng không thông báo kịp thời cho người mua để anh ta không mua được NFT bị đánh cắp và trở thành nạn nhân gián tiếp.

NFT 2

Azuki NFTs bị đánh cắp từ Auther0x | Nguồn: Etherscan.io

Chặn NFT bị đánh cắp dẫn đến thương vong gián tiếp

Nạn nhân gián tiếp không phải là mục tiêu của hack, nhưng gián tiếp chịu thiệt hại về tài chính do bị khóa NFT bị đánh cắp. Có thể thấy trong nhiều vụ hack gần đây, NFT luôn được bán trước khi OpenSea thực hiện lệnh khóa. Hậu quả của việc chặn NFT quá muộn là tạo ra thương vong gián tiếp và tổn thất nhiều hơn cho nhiều người hơn.

Có 3 tình huống phổ biến minh họa cách mọi người có thể mua NFT bị đánh cắp và trở thành nạn nhân gián tiếp của hack:

Trường hợp 1: Alice mua NFT nhưng sau đó phát hiện ra nó đã bị đánh cắp. NFT bị chặn và không thể bán hoặc chuyển giao cho OpenSea. Vì vậy cô rất thích câu hỗ trợ. Vài tuần sau, nhóm OpenSea Trust & Safety đề nghị hoàn lại 2,5% phí nền tảng và có thể là địa chỉ email của nạn nhân đã báo vụ trộm, nếu may mắn. Sau đó, chị ta nói chuyện rất lâu với nạn nhân để thống nhất khả năng tháo ổ khóa nhưng nhiều trường hợp không thành.

Alice vẫn có thể bán NFT ở các thị trường khác, nhưng doanh số của bộ sưu tập này rất thấp và không có người mua nào có thể đưa ra mức giá hợp lý trên các nền tảng khác ngoài OpenSea.

NFT 3

Phản hồi của OpenSea đối với những nạn nhân gián tiếp mua NFT bị đánh cắp

Trường hợp 2: Alice đưa ra một số đề nghị khi đặt cược vào NFT từ bộ sưu tập. Một trong những lời đề nghị mà hacker đã chấp nhận sau khi nhận được thanh toán từ ví của nạn nhân và bỏ trốn. NFT sau đó đã bị phong tỏa do bị đánh cắp một phần tài sản do các giao dịch trái phép của nạn nhân.

Những trường hợp như vậy thường xảy ra vì không thể chuyển các NFT được liệt kê trừ khi chúng bị xóa. Tin tặc hiện đang chịu áp lực về thời gian, vì vậy họ có nhiều khả năng chấp nhận đề nghị mua hàng để nhận tiền và sau đó chuyển tiền. Trường hợp sau đây cho thấy rằng toàn bộ tập hợp các nạn nhân gián tiếp của NFT đã bị OpenSea chặn mà không có lời giải thích.

Trường hợp 3: Alice đã sở hữu NFT khá lâu, nhưng đột nhiên bị chặn và bị đánh dấu là “hoạt động đáng ngờ được báo cáo”. Tài khoản của người bán không bị xâm phạm và giao dịch đã diễn ra cách đây một thời gian. Vì không cần bằng chứng để báo cáo NFT bị đánh cắp và chặn nó, nên bất kỳ ai cũng có thể gửi email lệnh chống gian lận OpenSea để chặn bất kỳ NFT nào.

Mặc dù có thể yêu cầu báo cáo của cảnh sát sau đó, OpenSea không đưa ra tuyên bố rõ ràng chỉ ra bằng chứng cần thiết để chứng minh hành vi hack, cũng như các điều kiện để xác định một báo cáo giả về NFT bị đánh cắp và loại lệnh bỏ chặn. Ngoài ra, không có hình phạt đối với thông tin không chính xác về NFT bị đánh cắp.

Các NFT thường bị chặn mà không có lời giải thích hoặc bằng chứng, ví dụ, cảnh sát báo cáo nạn nhân gián tiếp. Về mặt lý thuyết, những NFT này vẫn có thể được giao dịch trên các nền tảng khác, nhưng do OpenSea độc quyền trên thị trường (95% tổng giao dịch NFT), bất kỳ NFT nào bị chặn trên OpenSea, điều này gần tương đương với việc rút chúng khỏi thị trường mãi mãi.

Việc chặn NFT có thể làm tăng giá một cách giả tạo

Mối nguy hiểm của việc chặn một giao dịch NFT bị đánh cắp trên nền tảng NFT lớn nhất của OpenSea là sự sụt giảm nguồn cung đều đặn. Dựa trên quy luật cung cầu trong lý thuyết kinh tế, khi cung giảm, giá cả tăng.

Ví dụ: có 10.000 NFT trong bộ sưu tập của Azuki và chỉ có 1.100 NFT hiện được bán trên OpenSea. Vụ hack Arthur0x đã đánh cắp 17 NFT và những tài sản đó đã bị khóa. Mặc dù 17 NFT chỉ chiếm khoảng 1,5% trong tổng số 1.100 phiếu mua hàng đang lưu hành, nhưng giá sau hack đã cho thấy một xu hướng tăng. Vụ hack xảy ra vào ngày 22 tháng 3 và giá đạt đỉnh vào ngày 28 tháng 3 là 20,96 ETH, trước khi thông báo về đợt airdrop vào ngày 31 tháng 3 đã đẩy giá lên 55% trong tuần.

Doanh số bán hàng và giá trung bình của Azuki sau khi hack Nguồn: OpenSea

Mặc dù không phải tất cả 17 NFT bị đánh cắp đều bị chặn vì Arthur có thể khôi phục một số trong số đó bằng cách thương lượng với nạn nhân gián tiếp để chuộc chúng, các vụ hack tương tự trong tương lai sẽ xảy ra liên tục và tổng số NFT bị chặn có thể tăng lên nếu tiếp tục hack và sẽ không có thủ tục mở khóa.

Một lần nữa sử dụng Azuki làm ví dụ, biểu đồ dưới đây tóm tắt doanh số và giá trung bình trong các giai đoạn lịch sử để tạo ra đường cầu và giả định rằng đường cung là tuyến tính. Giao điểm của đường cung và đường cầu là giá cân bằng.

Nếu cung liên tục giảm, tốc độ tăng giá càng nhanh thì độ dốc của đường cầu càng lớn. Khi nguồn cung giảm 300 NFT từ 1.000 xuống 700 so với 700 đến 400, giá của nhóm thứ hai tăng lên.

Như được hiển thị trong biểu đồ bên dưới, giá đã tăng từ 15 ETH lên 21 ETH từ mức giảm 1.000 đến 700, nhưng lại tăng thêm từ 21 ETH lên 28 ETH từ mức giảm 700 đến 400.

Đường cung và cầu của Azuki dựa trên doanh số và giá cả từ OpenSea

Rõ ràng, việc chặn NFT bị đánh cắp có thể làm tăng giá một bộ sưu tập một cách giả tạo. Nếu ai đó muốn lợi dụng sơ hở trong hệ thống bảo mật OpenSea bằng cách báo cáo sai nhiều NFT từ cùng một bộ sưu tập bị đánh cắp (vì không cần bằng chứng để báo cáo các NFT bị đánh cắp), chi phí thu thập có thể tăng lên đáng kể nếu nguồn cung thấp. Lỗ hổng này có thể tạo cơ hội cho việc thao túng giá trên thị trường NFT kém thanh khoản.

Trong mọi trường hợp, chặn NFT không phải là một cách hiệu quả để ngăn chặn việc hack hoặc trừng phạt tin tặc, mà ngược lại, tạo ra nhiều hy sinh và kẽ hở gián tiếp cho những kẻ thao túng trên thị trường. Đây chắc chắn không phải là cách để đi, vậy có các biện pháp an ninh tốt không?

Hệ thống dựa trên bằng chứng và các biện pháp phòng ngừa là cần thiết

Hệ thống bảo mật OpenSea hiện tại không có biện pháp phòng ngừa để bảo vệ người dùng. Tất cả các biện pháp an ninh chỉ được thực hiện sau vụ trộm, đó là một trong những lý do chính khiến chúng không hoạt động.

Dựa trên hành vi của hacker, thời gian là một thành phần quan trọng. Các biện pháp bảo mật có thể làm chậm tin tặc hoặc thông báo cho nạn nhân kịp thời là chìa khóa để giành chiến thắng trong trận chiến. Dưới đây là một số biện pháp phòng ngừa hiệu quả hơn mà OpenSea có thể thực hiện:

– Tạo một hệ thống cảnh báo sớm có thể phát hiện hoạt động tài khoản bất thường và gửi tin nhắn văn bản tức thì hoặc cảnh báo qua email thông báo cho người dùng về các hành động để họ có đủ thời gian phản hồi. Ví dụ: nếu một tài khoản chưa bao giờ có được hoặc chuyển nhiều hơn một NFT trong một phút hoặc nếu tài khoản không có bất kỳ hành động nào trước đó trong một khoảng thời gian (tức là múi giờ khi người dùng ở chế độ ngủ), những hành động này sẽ được phát hiện bởi các thuật toán học máy. Chủ tài khoản có thể chọn nhận thông báo ngay lập tức hoặc cho phép tự động khóa tài khoản để bảo mật.

– Cung cấp cho người dùng khả năng giới hạn số lần chuyển nhượng hoặc bán NFT tối đa được phép trong một khoảng thời gian nhất định, tức là một lần chuyển nhượng hoặc bán hàng mỗi phút hoặc khoảng thời gian tối thiểu áp dụng giữa mỗi lần chuyển nhượng hoặc bán hàng, tức là cuộc mua bán chỉ có thể diễn ra sau 15 phút kể từ lần di chuyển trước đó. Các biện pháp này có thể ngăn chặn tin tặc đánh cắp một lượng lớn NFT cùng một lúc.

Tạo một trang để ghi lại các tài khoản đáng ngờ cho phép nạn nhân thêm ngay lập tức các tài khoản bị tấn công và tài khoản của hacker để công chúng theo dõi. Điều này sẽ cung cấp cho tất cả người mua thông tin thời gian thực về các tài khoản đáng ngờ và khả năng kiểm tra kỹ xem người bán có trong danh sách hay không trước khi mua. Sau đó, nạn nhân có thể yêu cầu bằng chứng như báo cáo của cảnh sát để chứng minh rằng tài khoản thực sự đã bị xâm phạm.

Một số biện pháp này có thể gây ra báo động sai và gây bất tiện. Nhưng vì đây là cuộc chạy đua với tin tặc khi đề cập đến vấn đề phòng ngừa, người dùng thích được an toàn hơn là xin lỗi để không trở thành nạn nhân tiếp theo.

Những quan niệm sai lầm phổ biến về hack tiền điện tử

Một quan niệm sai lầm phổ biến về hack tiền điện tử là “điều đó sẽ không xảy ra với tôi vì tôi rất hiểu biết về bảo mật và sử dụng ví phần cứng”. Có lẽ các phương pháp bảo mật tốt giúp tránh hoàn toàn hành vi tấn công độc hại, nhưng mọi người đều có thể trở thành nạn nhân gián tiếp của việc tấn công nhằm vào người khác. Khi số lượng các vụ trộm tăng lên, khả năng trở thành nạn nhân gián tiếp cũng cao hơn rất nhiều.

Một sai lầm khác là “miễn là tôi không giữ quá nhiều tiền trong ví nóng của mình, thì ví có bị hack hay không cũng không quan trọng”. Hầu hết người dùng không hiểu rằng tiền mất tật mang – đó chỉ là hậu quả của việc hack. Mất ví Web3 tương tự như mất toàn bộ lịch sử tín dụng. Bất kỳ khoản thu nhập nào trong tương lai dựa trên các hành động trong quá khứ, chẳng hạn như airdrop hoặc quyền truy cập vào tín dụng và đòn bẩy, cũng có thể biến mất với ví bị tấn công.

Mặc dù blockchain là một trong những công nghệ tài chính an toàn nhất từng được tạo ra, nhưng các cuộc tấn công độc hại vào các nền tảng tiền điện tử là mối đe dọa lớn nhất đối với doanh nghiệp Web3.

Với bản chất không thể đảo ngược của blockchain và thiếu các biện pháp ngăn chặn trong OpenSea, rõ ràng giải pháp tốt nhất mà OpenSea đưa ra sau khi hack miền Ethereum là cung cấp cho hacker 25% doanh thu bán hàng để đổi lấy NFT bị đánh cắp. Chỉ trong thế giới của thị trường NFT, tội phạm mới có thể được thưởng và không bị trừng phạt vì trọng tội như vậy.

Ở vị trí độc quyền trên thị trường NFT, OpenSea chắc chắn có thể làm tốt hơn và thực hiện các biện pháp bảo mật nghiêm túc hơn và cung cấp nhiều giải pháp bảo vệ hơn cho người dùng của mình.

Hãy cùng Telegram của Tạp chí Bitcoin theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn

Minh An

Theo Cointelegraph

Theo dõi trang Twitter | Đăng ký Telegram | Theo dõi trang Facebook

Trả lời

Email của bạn sẽ không được hiển thị công khai.