رسوایی فیشینگ Opensea یک نیاز امنیتی را در سراسر چشم انداز NFT آشکار می کند

ما به طور فعال در حال بررسی شایعات مربوط به سوء استفاده مرتبط با قراردادهای هوشمند OpenSea هستیم. به نظر می رسد این یک حمله فیشینگ باشد که خارج از وب سایت OpenSea منشا گرفته است. روی پیوندهای خارج از https://t.co/3qvMZjxmDB کلیک نکنید.

— OpenSea (@opensea) 20 فوریه 2022

نیراج مورارکا، مدیر ارشد فنی و یکی از بنیانگذاران Bluezelle، یک زنجیره بلوکی برای اکوسیستم GameFi، با ارائه یک تفکیک فنی در مورد موضوع، به کوین تلگراف گفت که در زمان وقوع حادثه، OpenSea از پروتکلی به نام Wyvern استفاده می کرد که یک استاندارد است. ماژول فناوری که اکثر برنامه های وب NFT از آن استفاده می کنند زیرا امکان مدیریت، ذخیره و انتقال این توکن ها را در کیف پول کاربران فراهم می کند.

از آنجایی که قرارداد هوشمند با Wyvern به کاربران اجازه می داد با NFT های ذخیره شده در “کیف پول” خود کار کنند، هکر توانست ایمیل هایی را برای مشتریان Opensea که به عنوان نماینده پلتفرم ظاهر شده بودند ارسال کند و آنها را تشویق به امضا کند. معاملات “کور” مورارکا در ادامه افزود:

«از نظر استعاری، این مانند امضای یک چک سفید بود. به طور معمول، اگر گیرنده پرداخت، گیرنده مورد نظر باشد، مشکلی ندارد. به خاطر داشته باشید که یک ایمیل می تواند توسط هر کسی ارسال شود، اما به نظر می رسد که توسط شخص دیگری ارسال شده است. در این مورد، به نظر می رسد دریافت کننده پرداخت تنها یک هکر باشد که توانسته است از این تراکنش های امضا شده برای انتقال و سرقت موثر NFT از این کاربران استفاده کند. این حادثه ظاهراً هکر برخی از NFT های سرقت شده را به صاحبان واقعی آنها بازگرداند ، با تلاش های بیشتری برای بازگرداندن سایر دارایی های از دست رفته در حال انجام است. الکساندر کلوس، بنیانگذار Creaton، یک پلتفرم ایجاد محتوای Web3، با ارائه دیدگاه خود در مورد کل این موضوع، به کوین تلگراف گفت که کمپین ایمیل فیشینگ از یک تراکنش امضای مخرب استفاده می کند تا همه دارایی ها را تایید کند تا بتوانند در هر زمان تخلیه شوند. “ما به استانداردهای امضای بهتری (EIP-712) نیاز داریم تا مردم بتوانند در هنگام تایید یک تراکنش واقعاً ببینند که چه کاری انجام می دهند.”

در نهایت، لیور یافه، یکی از بنیانگذاران و مدیر Jelurida، یک شرکت نرم افزاری بلاک چین، اشاره کرد. مشخص کنید که این قسمت نتیجه مستقیم سردرگمی پیرامون ارتقاء قرارداد هوشمند OpenSea و همچنین معماری تایید تراکنش پلتفرم بود.

بازارهای NFT باید بازی امنیتی خود را تقویت کنند

از نظر مورارکا، برنامه‌های وب که از سیستم قرارداد هوشمند Wyvern استفاده می‌کنند باید با پیشرفت‌هایی در قابلیت استفاده تقویت شوند تا اطمینان حاصل شود که کاربران بارها و بارها در معرض چنین حملات فیشینگ قرار نمی‌گیرند و اضافه می‌کند:

«بسیار واضح است. هشدارهایی باید داده شود تا به کاربر در مورد حملات فیشینگ و رانندگی به خانه آموزش داده شود و این حقیقت که ایمیل‌ها هرگز ارسال نمی‌شوند، از کاربر برای برداشتن هر اقدامی ترغیب می‌شود. برنامه‌های وب مانند OpenSea باید پروتکل سخت‌گیرانه‌ای را اتخاذ کنند تا هرگز از طریق ایمیل با کاربران ارتباط برقرار نکنند، جدای از اطلاعات ثبت نام. و استانداردها، هنوز به کاربران آن بستگی دارد که خود را در مورد این خطرات آموزش دهند. متأسفانه، خود برنامه وب اغلب مسئول شناخته می شود، حتی اگر این کاربر بود که فیش شد. چه کسی مسئول است؟ پاسخ نامشخص است.

جسی چان، رئیس کارکنان آزمایشگاه ParallelChain، یک اکوسیستم غیرمتمرکز بلاک چین، احساس مشابهی دارد، که به کوین تلگراف گفت صرف نظر از نحوه سازماندهی کل حمله، این مسئله کاملاً به پروتکل‌های امنیتی موجود OpenSea وابسته نیست، بلکه به آگاهی کاربر در برابر فیشینگ نیز بستگی دارد. این سؤال باقی می‌ماند که آیا اپراتور بازار باید می‌توانست اطلاعات کافی را در اختیار کاربرانش قرار دهد تا آنها را از نحوه برخورد با چنین سناریوهایی مطلع کند.

یکی دیگر از امکان‌های کاهش هر گونه رویداد احتمالی فیشینگ، داشتن همه تعاملات است. بین کاربران و برنامه های وب آنها که صرفاً از طریق استفاده از یک رابط اختصاصی موبایل/دسکتاپ هدایت می شود. “اگر همه تعاملات نیاز به استفاده از یک برنامه دسکتاپ داشته باشد، چنین حملاتی را می توان به طور کامل دور زد.”

یافه با ارائه دیدگاه خود در مورد این موضوع، خاطرنشان کرد که مشکل اصلی – که در قلب کل این موضوع نهفته است. — معماری اصلی اکثر بازارهای NFT است که به کاربران امکان می دهد به سادگی یک تأییدیه کارت برای قرارداد شخص ثالث برای استفاده از کیف پول خصوصی خود بدون تعیین محدودیت هزینه امضا کنند:

«از آنجایی که تیم OpenSea این کار را انجام نداد. واقعاً منبع عملیات فیشینگ را کشف کنید، ممکن است دفعه بعد که تلاش کنند در معماری خود تغییری ایجاد کنند، دوباره این اتفاق بیفتد.”

چه کاری می توان انجام داد؟

Murarka خاطرنشان کرد: بهترین راه برای از بین بردن احتمال این حملات این است که مردم شروع به استفاده از کیف پول های سخت افزاری کنند. این به این دلیل است که اکثر کیف پول‌های نرم‌افزاری و همچنین سایر راه‌حل‌های ذخیره‌سازی نگهبانی در طراحی کلی و چشم‌انداز عملیاتی خود بسیار آسیب‌پذیر هستند. او در ادامه توضیح داد: «مثل بیت‌کوین، اتریوم و غیره، NFT‌ها باید به جای رها کردن آن‌ها در یک پلت‌فرم متمرکز، به حساب‌های کیف پول سخت‌افزاری منتقل شوند» و افزود:

کاربران باید از خطرات ناشی از پاسخ به ایمیل‌هایی که دریافت می‌کنند و بر اساس آن عمل می‌کنند. ایمیل‌ها را می‌توان به راحتی جعل کرد و کاربران باید در مورد ایمنی دارایی‌های رمزنگاری خود فعال باشند.

نکته دیگری که دارندگان NFT باید به خاطر بسپارند این است که فقط باید از برنامه‌های وب بازدید کنند که از کیفیت بالا استفاده می‌کنند. پروتکل‌های امنیتی، بررسی اینکه آیا بازارهای مورد دسترسی از مکانیسم HTTPS (حداقل) استفاده می‌کنند، در حالی که می‌توانند هنگام بازدید از هر صفحه وب، نماد قفل را در سمت چپ بالای پنجره مرورگر خود به وضوح ببینند – که به درستی به شرکت مورد نظر اشاره می‌کند.

Yaffe معتقد است که کاربران باید مراقب تأییدیه‌های قرارداد باشند و ردیابی دقیق قراردادهایی را که در گذشته سبز رنگ کرده‌اند، حفظ کنند. «کاربران باید تأییدیه‌های غیرضروری یا ناامن را لغو کنند. در صورت امکان، کاربران باید برای هر تأیید قرارداد، یک محدودیت هزینه معقول را مشخص کنند.

موارد مرتبط: Cointelegraph با شبکه نیترو شریک می شود تا استخراج دیجیتال و اینترنت غیرمتمرکز را به توده ها برساند

در نهایت، چان معتقد است که در یک سناریوی ایده آل، کاربران باید کیف پول خود را روی یک پلتفرم اختصاصی نگهداری کنند که برای خواندن ایمیل یا مرور وب از آن استفاده نمی کنند. راه ها در معرض انواع حملات شخص ثالث هستند. وی در ادامه اظهار داشت:

«این کار ناخوشایند است، اما در برخورد با دارایی‌های با ارزش بالا و در مواردی که در صورت سرقت امکان رجوع وجود ندارد، مراقبت شدید موجه است. و مانند همه تراکنش‌های مالی، آنها باید در تصمیم‌گیری با چه کسی معامله کنند، بسیار مراقب باشند، زیرا طرف‌های مقابل نیز می‌توانند دارایی‌های شما را بدزدند و ناپدید شوند.” دیگر پیشنهادات دیجیتال جدید مشابه، باید دید که چگونه پلتفرم‌های فعال در این فضا همچنان به تکامل و بلوغ خود ادامه می‌دهند، به‌ویژه زمانی که مقدار سرمایه فزاینده‌ای راه خود را به بازار NFT باز می‌کند.