رسوایی فیشینگ OpenSea نیاز امنیتی را در سراسر چشم انداز NFT آشکار می کند

علیرغم نوسانات مستمری که بخش دارایی های دیجیتال را آزار می دهد، یکی از جایگاه هایی که بدون شک به شکوفایی خود ادامه داده است، بازار توکن غیرقابل تعویض (NFT) است. این امر با این واقعیت آشکار می‌شود که تعداد فزاینده‌ای از محرک‌ها و شیکرهای جریان اصلی از جمله کوکاکولا، آدیداس، بورس نیویورک (NYSE) و مک‌دونالدز، در میان بسیاری دیگر، راه خود را به اکوسیستم در حال رشد متاورس باز کرده‌اند. در ماه های اخیر

همچنین، با توجه به این واقعیت که تنها در طول سال 2021، فروش جهانی NFT بالای سر با 40 میلیارد دلار، بسیاری از تحلیلگران انتظار دارند که این روند در آینده نیز ادامه یابد. به عنوان مثال، اخیراً بانک سرمایه گذاری آمریکایی جفریز مطرح کرد پیش بینی ارزش بازار آن برای بخش NFT به بیش از 35 میلیارد دلار برای سال 2022 و بیش از 80 میلیارد دلار برای سال 2025 – پیش بینی ای که جی پی مورگان نیز آن را تکرار کرد.

با این حال، مانند هر بازاری که با چنین نرخ تصاعدی رشد می کند، مسائل مربوط به امنیت را نیز باید انتظار داشت. در همین راستا، بازار معروف توکن غیرقابل تعویض (NFT) OpenSea اخیراً قربانی یک حمله فیشینگ شد که تنها چند ساعت پس از اعلام این پلتفرم به‌روزرسانی برنامه‌ریزی‌شده یک هفته‌ای خود برای حذف همه NFT‌های غیرفعال از فهرست انجام شد.

غواصی در موضوع

در 18 فوریه، OpenSea فاش کرد که قصد دارد یک ارتقاء قرارداد هوشمند را آغاز کند و از همه کاربران خود بخواهد NFT های فهرست شده خود را از بلاک چین اتریوم به یک قرارداد هوشمند جدید منتقل کنند. به دلیل ارتقاء، کاربرانی که نتوانستند مهاجرت مذکور را تسهیل کنند، در معرض خطر از دست دادن لیست های قدیمی و غیرفعال خود قرار داشتند.

گفتنی است، به دلیل مهلت کوچک مهاجرت ارائه شده توسط OpenSea، هکرها با یک فرصت قوی مواجه شدند. چند ساعت پس از اعلام، مشخص شد که افراد ثالث شرور یک کمپین فیشینگ پیچیده را راه اندازی کرده اند و NFT های بسیاری از کاربرانی را که قبل از انتقال به قرارداد هوشمند جدید در این پلتفرم ذخیره شده بودند، سرقت کرده اند.

ما به طور فعال در حال بررسی شایعات مربوط به یک سوء استفاده مرتبط با قراردادهای هوشمند مرتبط با OpenSea هستیم. به نظر می رسد این یک حمله فیشینگ باشد که خارج از وب سایت OpenSea منشا گرفته است. روی پیوندهای خارج از آن کلیک نکنید https://t.co/3qvMZjxmDB.

– OpenSea (@opensea) 20 فوریه 2022

Neeraj Murarka، مدیر فنی و یکی از بنیانگذاران Bluezelle، یک بلاک چین برای اکوسیستم GameFi، با ارائه یک تفکیک فنی در مورد این موضوع، به کوین تلگراف گفت که در زمان وقوع حادثه، OpenSea از پروتکلی به نام Wyvern، یک ماژول فناوری استاندارد استفاده می کرد. اکثر برنامه های وب NFT از آن استفاده می کنند زیرا امکان مدیریت، ذخیره و انتقال این توکن ها را در کیف پول کاربران فراهم می کند.

از آنجایی که قرارداد هوشمند با Wyvern به کاربران اجازه می داد با NFT های ذخیره شده در “کیف پول” خود کار کنند، هکر می توانست ایمیل هایی را برای مشتریان OpenSea که به عنوان نماینده پلتفرم ظاهر می شدند ارسال کند و آنها را تشویق به امضای تراکنش های “کور” کند. مورارکا در ادامه افزود:

«از نظر استعاری، این مانند امضای یک چک سفید بود. به طور معمول، اگر گیرنده پرداخت، گیرنده مورد نظر باشد، مشکلی ندارد. به خاطر داشته باشید که یک ایمیل می تواند توسط هر کسی ارسال شود، اما به نظر می رسد که توسط شخص دیگری ارسال شده است. در این مورد، به نظر می رسد گیرنده پرداخت تنها یک هکر باشد که توانسته است از این تراکنش های امضا شده برای انتقال و سرقت موثر NFT از این کاربران استفاده کند.

همچنین در پیچ و تاب جالبی از اتفاقات، ظاهراً هکر در پی این حادثه بازگشت برخی از NFT های دزدیده شده به صاحبان واقعی آنها، با تلاش های بیشتر برای بازگرداندن سایر دارایی های از دست رفته انجام شده است. الکساندر کلوس، بنیانگذار Creaton، یک پلتفرم ایجاد محتوای Web3، با ارائه دیدگاه خود در مورد کل این موضوع، به کوین تلگراف گفت که کمپین ایمیل فیشینگ از یک تراکنش امضای مخرب استفاده می کند تا همه دارایی ها را تایید کند تا بتوانند در هر زمان تخلیه شوند. ما به استانداردهای امضای بهتری (EIP-712) نیاز داریم تا مردم بتوانند در هنگام تایید تراکنش ببینند که چه کاری انجام می دهند.

در نهایت، لیور یافه، یکی از بنیانگذاران و مدیر Jelurida، یک شرکت نرم افزاری بلاک چین، خاطرنشان کرد که این قسمت نتیجه مستقیم سردرگمی پیرامون ارتقاء قرارداد هوشمند OpenSea و همچنین معماری تایید تراکنش پلتفرم است.

بازارهای NFT باید بازی امنیتی خود را تقویت کنند

از نظر مورارکا، برنامه‌های وب که از سیستم قرارداد هوشمند Wyvern استفاده می‌کنند باید با بهبود قابلیت استفاده تقویت شوند تا اطمینان حاصل شود که کاربران بارها و بارها در معرض چنین حملات فیشینگ قرار نمی‌گیرند.

هشدارهای بسیار واضحی باید داده شود تا به کاربر در مورد حملات فیشینگ و رانندگی به خانه آموزش داده شود که ایمیل‌ها هرگز ارسال نخواهند شد و از کاربر برای برداشتن هر اقدامی ترغیب می‌شود. برنامه های وب مانند OpenSea باید یک پروتکل سختگیرانه را اتخاذ کنند تا هرگز از طریق ایمیل با کاربران ارتباط برقرار نکنند، شاید فقط اطلاعات ثبت نام داشته باشند.

با این اوصاف، او پذیرفت که حتی اگر OpenSea ایمن‌ترین پروتکل‌ها و استانداردهای امنیتی/حریم خصوصی را بپذیرد، باز هم به کاربرانش بستگی دارد که خود را در مورد این خطرات آموزش دهند. متأسفانه، خود برنامه وب اغلب مسئول شناخته می شود، حتی اگر این کاربر بود که فیش شد. چه کسی مسئول است؟ پاسخ نامشخص است.»

جسی چان، رئیس کارکنان آزمایشگاه ParallelChain، یک اکوسیستم بلاک چین غیرمتمرکز، احساسات مشابهی نیز دارد و به کوین تلگراف گفت که صرف نظر از نحوه سازماندهی کل حمله، این موضوع کاملاً به پروتکل‌های امنیتی موجود OpenSea وابسته نیست، بلکه به آگاهی کاربر نیز بستگی دارد. در برابر فیشینگ این سوال باقی می ماند که آیا اپراتور بازار باید می توانسته اطلاعات کافی را در اختیار کاربران خود قرار دهد تا آنها را از نحوه برخورد با چنین سناریوهایی مطلع سازد.

امکان دیگر برای کاهش هرگونه رویداد احتمالی فیشینگ این است که تمام تعاملات بین کاربران و برنامه های وب آنها صرفاً از طریق استفاده از یک رابط اختصاصی موبایل/دسکتاپ انجام شود. “اگر تمام تعاملات نیاز به استفاده از یک برنامه دسکتاپ داشته باشد، چنین حملاتی را می توان به طور کامل دور زد.”

Yaffe با ارائه دیدگاه خود در مورد این موضوع، خاطرنشان کرد که مشکل اصلی – که در قلب کل این موضوع نهفته است – معماری اساسی اکثر بازارهای NFT است که کاربران را قادر می‌سازد تا به سادگی یک تأییدیه کارت‌بلانچ برای استفاده از قرارداد شخص ثالث امضا کنند. کیف پول خصوصی آنها بدون تعیین محدودیت هزینه:

از آنجایی که تیم OpenSea واقعاً منبع عملیات فیشینگ را کشف نکرده است، ممکن است دفعه بعد که تلاش کنند در معماری خود تغییری ایجاد کنند، دوباره این اتفاق بیفتد.

چه کاری می توان انجام داد؟

مورارکا خاطرنشان کرد که بهترین راه برای از بین بردن احتمال این حملات این است که مردم شروع به استفاده از کیف پول های سخت افزاری کنند. این به این دلیل است که اکثر کیف پول‌های نرم‌افزاری و همچنین سایر راه‌حل‌های ذخیره‌سازی نگهبانی در طراحی کلی و چشم‌انداز عملیاتی خود بسیار آسیب‌پذیر هستند. او در ادامه توضیح داد: «مانند بیت‌کوین، اتریوم و غیره، NFT‌ها باید به جای رها کردن آن‌ها در یک پلت‌فرم متمرکز، به حساب‌های کیف پول سخت‌افزاری منتقل شوند.»

«کاربران باید از خطرات پاسخ دادن به ایمیل‌هایی که دریافت می‌کنند و بر اساس آن‌ها عمل کنند، آگاه باشند. ایمیل‌ها را می‌توان به راحتی جعل کرد و کاربران باید در مورد امنیت دارایی‌های رمزنگاری خود فعال باشند.»

نکته دیگری که دارندگان NFT باید به خاطر بسپارند این است که فقط باید از برنامه‌های وب بازدید کنند که از پروتکل‌های امنیتی با کیفیت بالا استفاده می‌کنند و بررسی کنند که بازارهای مورد دسترسی از مکانیسم HTTPS (حداقل) استفاده می‌کنند و در عین حال می‌توانند نماد قفل را به وضوح ببینند. سمت چپ بالای پنجره مرورگر آنها – که به درستی به شرکت مورد نظر اشاره می کند – هنگام بازدید از هر صفحه وب.

Yaffe معتقد است که کاربران باید مراقب تأییدیه‌های قرارداد باشند و ردیابی دقیق قراردادهایی را که در گذشته سبز رنگ کرده‌اند، حفظ کنند. «کاربران باید تأییدیه‌های غیرضروری یا ناامن را لغو کنند. در صورت امکان، کاربران باید یک محدودیت هزینه معقول را برای هر تأیید قرارداد مشخص کنند.”

مطالب مرتبط: Cointelegraph با Nitro Network شریک می شود تا استخراج دیجیتال و اینترنت غیرمتمرکز را به توده ها برساند.

در نهایت، چان معتقد است که در یک سناریوی ایده‌آل، کاربران باید کیف پول‌های خود را روی یک پلتفرم اختصاصی که برای خواندن ایمیل یا مرور وب استفاده نمی‌کنند، نگه دارند و اضافه می‌کند که هر گونه راه‌هایی در معرض انواع حملات شخص ثالث است. وی در ادامه بیان کرد:

«این ناخوشایند است، اما هنگام برخورد با دارایی‌های با ارزش بالا و در مواردی که در صورت سرقت امکان توجّه وجود ندارد، مراقبت شدید موجه است. و مانند همه تراکنش‌های مالی، آنها باید در تصمیم‌گیری با چه کسی معامله کنند، بسیار مراقب باشند، زیرا طرف‌های مقابل نیز می‌توانند دارایی‌های شما را بدزدند و ناپدید شوند.»

بنابراین، در حالی که به سمت آینده ای حرکت می کنیم که توسط NFT ها و سایر پیشنهادات دیجیتال جدید مشابه حرکت می کنیم، باید دید که چگونه پلتفرم های فعال در این فضا به تکامل و بلوغ خود ادامه می دهند، به خصوص که مقدار سرمایه رو به رشدی همچنان راه خود را به بازار NFT باز می کند.