Вопрос о безопасности при покупке и хранении NFT сейчас актуален как никогда – злоумышленники нацелились на новую индустрию
Основательница The Rebels Индре Вилтраките (Indrė Viltrakytė) поделилась мнением о том, как пользователи могут обезопасить себя от попыток хакеров украсть их NFT-активы.
Фишинговые атаки не новы. Иногда их легко заметить. Например, в случае, когда приходят сообщения с просьбой отправить банковскую информацию принцу из далекой чужой страны. Но иногда все немного труднее. Например, когда запрос на одобрение освобождения активов поступает из, казалось бы, надежного источника.
Такая ситуация произошла около месяца назад с пользователями NFT-платформы Premint. Злоумышленникам удалось украсть 314 NFT на сумму $430 000. Но возникает вопрос: как?
Все просто: злоумышленники смогли внедрить вредоносный код на официальный сайт Premint. Код предлагал пользователям согласиться с подтверждением всех транзакций при подключении криптокошелька. Так хакеры смогли получить доступ к кошелькам пользователей и всему, что на них хранилось. Пользователи доверяли сайту Premint, поэтому и не почувствовали ничего странного.
Злоумышленники уже не в первый раз покушаются на NFT пользователей. Жертвами похищения становились даже такие NFT-коллекции, как BAYC, CloneX, Azuki и Doodles.
Получается, NFT-индустрия стала новой целью хакеров?
Что именно крадут хакеры
Обычно, когда мы слышим слово NFT, мы думаем о цифровом изображении, которое является уникальным и связано с блокчейном. Однако все сложнее, чем кажется. Когда речь идет об NFT, всегда делается акцент на отслеживании владения и уникальности. Но нигде в стандарте NFT не указано, что представляют собой уникальные токены. По своей сути, токены – это всего лишь уникальные номера. Именно авторы NFT-коллекции определяют, что представляют собой эти токены.
Кроме того, изображения обычно никогда не «загружаются в криптокошелек». Они не являются частью NFT-контракта. Хэш изображения может быть записан в контракт, чтобы создать связь с вещью, которую представляет NFT.
NFT в основном приобретаются как предметы коллекционирования и часто используются в инвестиционных целях. Примеров практического использования таких токенов мало. Но они могут иметь реальную значимость в метавселенной (в качестве какого-либо предмета).
Кто виноват в хищении NFT-активов
Кто в виноват в похищении NFT: пользователь или платформа, которая позволила злоумышленнику взломать себя?
В случае с Premint злоумышленники смогли отобразить нужную им информацию на официальном сайте и обманом заставить пользователей, по сути, передать кошельки хакерам.
Правдоподобного текста на официальном сайте в сочетании с доверием к площадке было достаточно, чтобы обмануть многих. Но на самом деле странно ожидать, что среднестатистический Web3-пользователь сможет сразу определить, что его пытаются взломать. У большинства из жертв не было достаточно хорошего технического образования, чтобы заметить, что они фактически предоставили доступ к их NFT какому-то незнакомцу.
На самом деле активы в кошельках пользователей настолько безопасны, насколько безопасны ВСЕ децентрализованные приложения (dApps), с которыми взаимодействует пользователь. Скорее всего, такое похищение – не последний случай в NFT-индустрии.
Как сайты могут обезопасить пользователей
Во-первых, кошельки могли бы отображать более ориентированную на человека информацию. Например, – огромное красное сообщение, гласящее: «Эй, ты отдаешь кому-то контроль над всеми своими NFT!». Это было бы намного лучше, чем надпись «УСТАНОВИТЬ ОДОБРЕНИЕ ДЛЯ ВСЕХ» серым цветом в окне подтверждения транзакции MetaMask.
Во-вторых, сайты могут начать указывать и публиковать контрактные взаимодействия, которые они могут инициировать. Либо вовсе отказывать пользователям в выполнении подозрительных и нестандартных транзакциях.
Как пользователи могут себя обезопасить
1. Ознакомиться с деталями транзакции перед ее одобрением. Конечно, это не гарантирует защиту на все 100%. Однако так больше шансов обнаружить что-то подозрительное.
2. Хранить NFT (и другие криптоактивы) на нескольких кошельках. Если пользователь передаст кому-то информацию об одном кошельке (приватный ключ или сид-фразу), то он не потеряет сразу же все активы.
3. Использовать разные кошельки для разных dApps. Конечно, это не всегда практично, однако этот пункт тоже может спасти активы в случае взлома одного из таких приложений.
Читайте свежие новости криптовалют на портале BeInCrypto и присоединяйтесь к дискуссии в нашем Телеграм-канале
Согласно правилам Trust Project, данная статья отражает точку зрения автора и может не совпадать с мнением редакции BeInCrypto. Политика BeInCrypto — освещать любые события беспристрастно и соблюдать высочайшие стандарты журналистики. BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены