11 рисков кибербезопасности для покупателей NFT
Хотя обеспечение невзаимозаменяемого токена (NFT) может показаться хорошей идеей, это сопряжено с рисками кибербезопасности для покупателей. Любой, кто ввязывается в этот альтернативный тип инвестиций, должен понимать, с какими киберугрозами он сталкивается.
1. Атака повторного входа
Атака повторного входа использует уязвимость, чтобы заставить смарт-контракты входить в бесконечные циклы. Поскольку эти самоисполняющиеся соглашения выполняются императивно — то есть каждая строка кода должна завершить выполнение — перед переходом к следующей — они фактически без вопросов передают управление при выполнении внешних вызовов.
Если вызываемый контракт вредоносный, он может делать рекурсивные обратные вызовы. Поскольку вызывающий должен приостановить выполнение своего кода до тех пор, пока его вызов не вернется, он вынужден выполнять исходную строку кода повторно, не обновляя свой баланс. Злоумышленники могут использовать эту функцию, чтобы украсть NFT в считанные секунды, потенциально позволяя своей атаке остаться незамеченной изначально.
2. Мошенничество с технической поддержкой
Поскольку NFT не регулируются и децентрализованы, владельцы должны полагаться на помощь других членов сообщества. Многие, кто сталкивается с техническими проблемами, в которых они не могут разобраться, обращаются за помощью в Discord, Reddit или Telegram. К сожалению, некоторые люди на этих платформах находятся там по неправильным причинам. Они пользуются доверием и неосведомленностью людей, чтобы украсть их активы.
3. Взлом торговой площадки
Централизованные платформы могут быть взломаны, как и любой другой сторонний рынок, что делает их значительными рисками кибербезопасности для покупателей NFT. Хотя до 95% сегодняшних NFT бесполезны, те, которые сохранили свою ценность, стоят много — а это значит, что те, кто хочет купить их, неизбежно станут мишенью для злоумышленников.
Взломы торговых площадок случались раньше и, скорее всего, произойдут снова. Например, хакер украл тысячи долларов в NFT из Nifty Gateway в 2021 году. Даже такие популярные сайты, как OpenSea, признались в нарушениях безопасности. Люди, заинтересованные во владении NFT, должны понимать риски работы на таких платформах.
4. Отказ в обслуживании
Атака типа «отказ в обслуживании» является одним из наиболее существенных рисков кибербезопасности для покупателей NFT. Она подразумевает использование злоумышленником рекурсивных обратных вызовов для блокировки возврата смарт-контрактов в состояние, в котором они находились до начала выполнения транзакции. Это приводит к неограниченному использованию ресурсов и навсегда блокирует функцию.
5. Мошенничество с вытягиванием ковра
В мошенничестве с перетягиванием коврика мошенник убеждает других, что они получат большую прибыль от инвестиций, если купят определенные акции, криптовалюту или проект NFT. Как только они находят достаточно людей для финансирования своей идеи, они исчезают. Этот тип мошенничества случался много раз в этом сообществе, потому что оно не регулируется.
В 2022 году Итан Нгуен и Андре Льякуна создали Frosties, коллекцию NFT на тему мороженого. Сообщается, что они заработали около 1,1 миллиона долларов после того, как их 8888 товаров были проданы в течение часа после их публичного запуска. Вскоре после этого они перевели свои средства в различные цифровые кошельки и исчезли.
Хотя эти двое мужчин были позже арестованы за мошенничество и отмывание денег, люди, которые купили Frosties, все еще были без своих с трудом заработанных денег — и их NFT были фактически бесполезны. Мошенничества с вытягиванием коврика распространены, даже если большинство из них не так прибыльны. Если инвестиция звучит слишком хорошо, чтобы быть правдой, вероятно, так оно и есть.
6. Манипуляция Оракулом
Когда смарт-контракты получают доступ или данные из внешнего источника через оракул — сторонний сервис, который соединяет блокчейн с внешними системами — они становятся уязвимыми для взломов. Злоумышленник может принудительно запустить транзакции, чтобы украсть NFT, прежде чем владелец поймет, что что-то не так.
7. Поддельные NFT
Мошенники могут легко плагиатить или красть произведения искусства. URL-адрес их товара и адрес кошелька не будут соответствовать оригиналу, но все равно могут быть достаточно убедительными. Люди, которые думают, что никогда не попадутся на такую удочку, ошибаются — даже самые популярные платформы полны подделок. В 2022 году OpenSea объявила, что более 80% NFT , созданных с помощью ее бесплатного набора инструментов, оказались подделками.
8. Фишинговая атака
В двухэтапной фишинговой атаке злоумышленник захватывает учетную запись в социальной сети, обманывая известную личность в отрасли, чтобы она нажала на вредоносную ссылку или вложение. Получив контроль, они публикуют информацию об ограниченном по времени предложении или прямой трансляции вместе со второй вредоносной ссылкой. Большой процент подписчиков, скорее всего, поверит, что это законно.
Как только они нажимают на ссылку, злоумышленник может просматривать данные их кредитной карты по мере их ввода, захватить их учетную запись в социальных сетях или опустошить все NFT из их цифрового кошелька. В худшем случае реализуются все три возможности — то есть никто не может прокомментировать пост, предупреждая других, что это фишинговая атака.
9. Мошенническая торговая площадка
Мошеннические торговые площадки либо поддельные и выглядят как настоящие, либо являются убедительными копиями законных платформ. Поскольку нет никаких правил для покупателей или продавцов NFT, любой, у кого достаточно технических знаний, может создать их. Обычно они предназначены для внедрения вредоносного ПО в ничего не подозревающие устройства или обмана посетителей, чтобы они выдали свои учетные данные.
10. Мошенничество с накачкой и сбросом
Мошенничество с накачкой и сбросом — один из самых больших рисков кибербезопасности для покупателей NFT. Оно подразумевает, что злоумышленник искусственно завышает стоимость своей коллекции. Они делают ее похожей на выгодную инвестицию, побуждая реальных людей покупать ее. С этого момента стоимость растет экспоненциально — но только временно. Как только она достигает пика, они внезапно продают все, делая остальное бесполезным.
11. Уязвимости цифрового кошелька
Поскольку цифровые кошельки NFT предназначены для хранения активов, любые уязвимости могут поставить под угрозу всю коллекцию владельца. К сожалению, они не так безопасны, как думают многие. Например, веб-версии, подключенные к Интернету, уязвимы для атак типа «человек посередине». Те, что на мобильных устройствах, также могут быть взломаны.
Независимо от того, хранит ли цифровой кошелек токены или содержит закрытый ключ, который дает владельцу доступ к его предметам в блокчейне, он служит его последней линией обороны. Если они не обновляют свое приложение, не подключаются к публичному Wi-Fi и не держат свое устройство в своем распоряжении, хакеры могут воспользоваться уязвимостями и украсть их коллекцию.
Покупатели NFT должны сохранять бдительность в отношении киберугроз
Для покупателей NFT существует множество рисков кибербезопасности — особенно для новичков в сообществе, которые не знают распространенных киберугроз. Они должны оставаться бдительными и осторожными в отношении всего, с чем они никогда не сталкивались, чтобы защитить свой цифровой кошелек и личные данные.
