Veja como os hacks de NFT do OpenSea prejudicam proprietários, compradores e até coleções inteiras

Qualquer um pode se tornar vítima de um hack malicioso de NFT, então o que mais a OpenSea poderia fazer para proteger seus usuários?

O mercado de tokens não-fungíveis (NFT) está crescendo desde o verão de 2021 e, à medida que os preços dos NFTs dispararam, o mesmo aconteceu com o número de hacks direcionados a NFTs.

O hack de alto perfil mais recente desviou aproximadamente 600 Ether (ETH) de NFTs de Arthur0x, o fundador da DeFiance Capital, que foram então vendidos no OpenSea.

Um relatório de crimes cripto de 2022 publicado pela Chainalysis destacou que o valor enviado aos mercados NFT por endereços ilícitos saltou significativamente em 2021, chegando a pouco menos de US$ 1,4 milhão. Houve também um claro aumento nos fundos roubados enviados para mercados NFT.

Valor ilícito total fluindo para plataformas NFT. Fonte: Relatório de Crimes Cripto Chainalysis 2022

Dado o rápido aumento preocupante do valor ilícito que flui para as plataformas NFT, é natural perguntar se as medidas e procedimentos de segurança estão em vigor e, em caso afirmativo, se essas medidas são eficazes na proteção dos proprietários.

Vamos dar uma olhada no OpenSea, a maior plataforma NFT, e suas medidas de segurança.

As medidas de segurança do OpenSea não podem proteger os usuários

O OpenSea tem duas medidas de segurança principais que entram em ação quando uma conta é “hackeada” – bloquear a conta comprometida e bloquear os NFTs roubados. Essas duas medidas são muito ineficazes quando analisadas de perto.

O bloqueio da conta pode ser feito no site do OpenSea sem aprovação humana, como mostrado aqui, enquanto o bloqueio dos NFTs envolve um processo demorado de abrir um ticket e aguardar a resposta da equipe de ajuda do OpenSea.

Em uma situação em que um hacker já comprometeu a carteira e está transferindo os NFTs para fora, o bloqueio da conta só será eficaz se for feito antes que o hacker transfira tudo.

Da mesma forma, bloquear os NFTs também só é eficaz antes que os NFTs sejam vendidos a outro comprador pelo hacker. O pior é que essa medida de segurança cria uma série de vítimas indiretas que acabam com NFTs bloqueadas que não podem ser vendidas ou transferidas. Isso ocorre porque o tempo de resposta para tickets gerados no OpenSea é de pelo menos um dia. No momento em que os NFTs são bloqueados pelo OpenSea, eles já teriam sido vendidos para outro comprador que agora se torna a nova vítima do crime.

No caso dos 17 Azuki roubados de Arthur0x, 15 foram roubados no mesmo minuto e dois foram roubados três minutos depois. O tempo médio que esses NFTs roubados permaneceram na carteira do hacker antes de serem vendidos é de 43 minutos. As medidas de segurança do OpenSea não são de forma alguma responsivas e rápidas o suficiente para informar a vítima e parar o hacker; nem eles podem informar os compradores prontamente o suficiente para impedi-los de comprar os NFTs roubados e se tornarem vítimas indiretas.

NFTs Azuki roubados de Aurther0x. Fonte: Etherscan.io

Bloquear NFTs roubados cria vítimas indiretas

Uma vítima indireta é alguém que não é o alvo do hack, mas sofre indiretamente as perdas financeiras causadas pelo bloqueio dos NFTs roubados. Como visto em muitos hacks recentes de NFT, os NFTs são sempre vendidos antes que o bloqueio seja implementado pelo OpenSea. A consequência de bloquear os NFTs tarde demais é que cria vítimas indiretas e mais perdas para mais pessoas.

Para ilustrar com mais detalhes como alguém pode acabar comprando um NFT roubado e se tornar uma vítima indireta de um hack, aqui estão três casos comuns:

Caso 1: Alice comprou um NFT, mas só descobriu depois que era um ativo roubado. O NFT está bloqueado e Alice não pode vendê-lo ou transferi-lo no OpenSea. Ela então começa a abrir um ticket de suporte. Após várias semanas, a equipe OpenSea Trust & Safety oferece o reembolso das taxas de plataforma de 2,5%; e possivelmente o endereço de e-mail da vítima que relatou o roubo se tiver sorte. Então, ela provavelmente terá uma longa discussão com a vítima para negociar a possibilidade de levantar o bloqueio, que provavelmente não terminará em lugar nenhum.

Alice ainda pode vender o NFT em outros marketplaces, mas o volume de vendas é muito baixo para essa coleção em particular e não há comprador que possa oferecer um preço justo em plataformas que não sejam o OpenSea.

A resposta da OpenSea à vítima indireta que comprou um NFT roubado

Caso 2: Alice fez várias ofertas enquanto fazia lances em NFTs de uma coleção. Uma das ofertas foi aceita pelo hacker, que então recebeu o pagamento do lance na carteira da vítima e procedeu à limpeza da carteira. O NFT foi bloqueado posteriormente como parte dos ativos roubados de transações não autorizadas pela vítima.

Casos como esse geralmente acontecem porque os NFTs listados não podem ser transferidos a menos que a listagem seja cancelada. O hacker, que está sob pressão do tempo, estará mais propenso a aceitar uma oferta de lance e obter os lucros da venda e transferir o dinheiro. O caso abaixo mostra como toda a coleção NFT da vítima indireta foi bloqueada pelo OpenSea sem explicação.

Aqui está meu tópico sobre como o @opensea bloqueou minha conta sem razão e congelou todas os meus NFTs depois que minha oferta de 40 semanas para o @BoredApeYC #6267 foi aceita. Acho muito importante divulgar este caso entre a comunidade NFT!

Vamos começar ⬇️ pic.twitter.com/xnxctpzzpL

— Mpa3yka (@Mpa3yka) 10 de novembro de 2021

Caso 3: Alice possui um NFT há algum tempo e, de repente, ele é bloqueado e marcado como “denunciado por atividade suspeita”. A conta do vendedor não está comprometida e a transação aconteceu há algum tempo. Como não há evidência necessária para denunciar um NFT roubado e bloqueá-lo, qualquer pessoa pode enviar um e-mail para a equipe antifraude da OpenSea para bloquear qualquer NFT.

Embora um relatório possa ser solicitado posteriormente, não há uma declaração clara do OpenSea para especificar as evidências necessárias para provar o hack nem uma condição sob a qual um NFT roubado falsamente relatado possa ser identificado e retirado do bloqueio. Não há consequências para a falsa comunicação de NFTs roubados.

Os NFTs são frequentemente bloqueados sem explicação ou evidência, como boletins de ocorrência fornecidos à vítima indireta. Teoricamente, esses NFTs ainda podem ser negociadas em outras plataformas, mas dado o monopólio do OpenSea no mercado, com 95% do volume total de negociação de NFT, bloquear qualquer NFT no OpenSea é quase equivalente a tirá-los do mercado para sempre.

Bloquear NFTs pode aumentar artificialmente o preço

O perigo de bloquear a negociação de NFTs roubados na maior plataforma de NFT OpenSea é a redução permanente na oferta. Com base na lei da oferta e demanda na teoria econômica, quando a oferta cai, o preço sobe.

Como exemplo, a coleção Azuki possui 10.000 NFTs e atualmente, apenas 1.100 estão à venda no OpenSea. O hack de Arthur0x resultou em 17 roubos e bloqueios. Embora 17 NFTs representem apenas cerca de 1,5% da oferta circulante de 1.100, o preço já mostrou uma tendência de aumento após o hack. O hack aconteceu em 22 de março e o preço atingiu o pico em 28 de março a 20,96 ETH antes do anúncio do airdrop em 31 de março – um aumento de 55% em uma semana.

Vendas Azuki e preço médio após o hack. Fonte: Open Sea

Embora nem todos os 17 NFTs roubados estejam bloqueados, pois Arthur conseguiu recuperar alguns através de negociações com as vítimas indiretas para comprá-los de volta, futuros hacks de forma semelhante acontecerão continuamente e o número cumulativo de NFTs bloqueados só pode aumentar à medida que os hacks continuam e nenhum procedimento está em vigor para desbloqueá-los.

Usando o Azuki como exemplo novamente, o gráfico abaixo coleta o número histórico de vendas e o preço médio para criar uma curva de demanda e assume que a curva de oferta é linear. O ponto onde as curvas de oferta e demanda se cruzam é ​​o preço de equilíbrio.

À medida que a oferta diminui continuamente, a velocidade de aumento do preço se torna mais rápida à medida que a inclinação da curva de demanda se torna mais acentuada. Uma redução igual de 300 NFTs na oferta de 1.000 para 700 versus de 700 para 400 resulta em um aumento de preço maior para o último.

Conforme mostrado no gráfico abaixo, o preço aumenta de 15 ETH para 21 ETH da redução de 1.000 para 700, mas aumenta mais de 21 ETH para 28 ETH da redução de 700 para 400.

Curva de oferta e demanda da Azuki com base nas vendas e preços do OpenSea

É claro que o bloqueio dos NFTs roubados poderia aumentar artificialmente o preço da coleção. Se alguém quiser tirar vantagem da brecha no sistema de segurança do OpenSea ao reportar falsamente muitos NFTs da mesma coleção como roubados (já que nenhuma evidência é necessária para relatar NFTs roubados), o preço da coleção pode aumentar drasticamente se a oferta for baixa . Essa brecha pode criar oportunidades para manipulação de preços no mercado ilíquido de NFT.

De qualquer forma, bloquear NFTs não é uma medida eficaz para impedir o hack ou punir o hacker, mas, ao contrário, cria mais vítimas indiretas e brechas para os manipuladores de mercado. Este certamente não é o caminho a seguir, então existe alguma medida de segurança eficaz?

Medidas preventivas e um sistema baseado em evidências precisam estar em vigor

O atual sistema de segurança do OpenSea não possui medidas preventivas para proteger os usuários antecipadamente. Todas as medidas de segurança são implementadas somente após o hack, que é uma das principais razões pelas quais elas são ineficazes.

Com base nos comportamentos dos hackers, o tempo é um componente essencial. Medidas de segurança que podem retardar o hacker ou informar as vítimas antecipadamente são as chaves para vencer a batalha. Aqui estão algumas medidas preventivas mais eficazes que podem ser implementadas pelo OpenSea:

  • Criar um sistema de alerta antecipado que possa detectar atividades anormais na conta e enviar mensagens de texto instantâneas ou alertas de e-mail para informar os usuários sobre tais atividades para que tenham tempo suficiente para responder. Por exemplo, se a conta nunca comprou ou transferiu mais de um NFT em um minuto; ou se a conta nunca teve nenhuma atividade no passado durante um período de tempo específico (ou seja, fusos horários quando o usuário está dormindo), a ocorrência de tais atividades será detectada por algoritmos de aprendizado de máquina. O titular da conta pode optar por ser informado imediatamente ou permitir que a conta seja bloqueada automaticamente por segurança.
  • Fornecer aos usuários a opção de restringir o número máximo de transferências NFT ou vendas permitidas dentro de um prazo, ou seja, no máximo uma transferência ou venda em um minuto; ou um intervalo de tempo mínimo imposto entre cada transferência ou venda, ou seja, a próxima transferência ou venda só poderá ocorrer 15 minutos após a anterior. Essas medidas podem impedir que hackers roubem um grande número de NFTs de uma só vez.
  • Criar painéis de contas suspeitas que permitam às vítimas adicionar instantaneamente contas comprometidas e contas de hackers para escrutínio público. Isso dará a todos os compradores informações em tempo real sobre contas suspeitas e a capacidade de verificar se o vendedor está na lista antes de comprar. Evidências como um boletim de ocorrência podem ser solicitadas posteriormente à vítima para provar que as contas denunciadas estão de fato comprometidas.

Algumas dessas medidas podem gerar falsos alarmes e inconveniências. Mas, como é uma corrida de tempo contra o hacker quando se trata de medidas preventivas, os usuários preferem prevenir do que remediar para evitar se tornar a próxima vítima.

Equívocos comuns sobre hacking de criptomoedas

Um equívoco comum sobre hacking de criptomoedas é que “isso não vai acontecer comigo porque minha consciência de segurança é alta e eu uso uma carteira hardware”. Pode ser verdade que um hack malicioso direto possa ser evitado por meio de boas práticas de segurança, mas qualquer pessoa pode se tornar uma vítima indireta de um hack direcionado a outra pessoa. Quando o número de hacks aumenta, a chance de se tornar uma vítima indireta também é muito maior.

Outro equívoco é: “desde que eu não guarde muito dinheiro na minha carteira quente, não importa se a carteira está comprometida”. O que a maioria dos usuários não percebe é que a perda monetária é apenas uma das repercussões do hack. Perder uma carteira Web3 é como perder todo o histórico de crédito. Quaisquer benefícios futuros baseados em atividades passadas, como airdrops ou acesso a empréstimos e alavancagem, também podem evaporar com a carteira comprometida.

Embora a blockchain seja uma das tecnologias financeiras mais seguras já criadas, hacks maliciosos em plataformas baseadas em cripto são a maior ameaça ao empreendimento Web3.

Dada a natureza irreversível da blockchain e a falta de medidas preventivas de segurança do OpenSea, não é difícil ver que a melhor solução que o OpenSea apresentou após o hack do leilão de domínio Ethereum é oferecer ao hacker um lucro de 25% da venda em troca do retorno dos NFTs roubados. Somente no mundo do mercado NFT um criminoso pode ser recompensado em vez de punido por um crime tão grave.

Como monopolista do mercado NFT, o OpenSea certamente pode fazer melhor do que isso e levar as medidas de segurança mais a sério e fornecer mais proteção aos seus usuários.

As visões e opiniões expressas aqui são exclusivamente do autor e não refletem necessariamente as opiniões do Cointelegraph.com. Cada movimento de investimento e negociação envolve risco, você deve realizar sua própria pesquisa ao tomar uma decisão.

VEJA MAIS:

Você pode gostar...