Hack NFT trên OpenSea đang gây hại cho người dùng và làm giảm uy tín nền tảng
-
Thị trường NFT bùng nổ kể từ mùa hè năm 2021 và khi giá tăng vọt, số lượng các vụ hack nhắm vào loại tài sản này cũng vậy.
Vụ hack nổi tiếng gần đây nhất đã lấy đi các NFT trị giá khoảng 600 ETH từ Arthur0x, nhà sáng lập DeFiance Capital, sau đó đã được bán trên OpenSea.
Báo cáo tội phạm tiền điện tử năm 2022 của Chainalysis đã nhấn mạnh rằng giá trị được gửi từ các địa chỉ bất hợp pháp đến thị trường NFT tăng đáng kể vào năm 2021, đạt đỉnh xấp xỉ 1,4 triệu đô la. Đồng thời, số tiền đánh cắp gửi đến các thị trường NFT cũng tăng rõ ràng.
Tổng giá trị bất hợp pháp chảy vào nền tảng NFT | Nguồn: Chainalysis
Với giá trị bất hợp pháp chảy vào các nền tảng NFT gia tăng nhanh chóng, câu hỏi được đặt ra là liệu các biện pháp và quy trình bảo mật có được áp dụng hay không và nếu có, liệu các biện pháp này có hiệu quả trong việc bảo vệ chủ sở hữu hay không?
Hãy cùng phân tích nền tảng NFT lớn nhất OpenSea và các biện pháp bảo mật của họ.
Các biện pháp bảo mật tại OpenSea không thể bảo vệ người dùng
OpenSea có 2 biện pháp bảo mật chính được kích hoạt sau khi tài khoản bị “hack” – khóa tài khoản bị xâm nhập và khóa các NFT bị đánh cắp. Hai biện pháp này rất kém hiệu quả khi xem xét chúng một cách kỹ lưỡng.
Việc khóa tài khoản có thể được thực hiện trên trang web OpenSea mà không cần sự chấp thuận của con người, trong khi chặn NFT bao gồm một quá trình kéo dài để báo cáo và chờ team trợ giúp OpenSea phản hồi.
Trong tình huống hacker xâm nhập ví và đang trong quá trình chuyển NFT ra ngoài, việc khóa tài khoản sẽ chỉ có hiệu lực nếu nó được thực hiện trước khi hacker chuyển mọi thứ ra ngoài.
Tương tự, việc chặn NFT cũng chỉ có hiệu lực trước khi NFT được hacker bán cho người mua khác. Điều tồi tệ hơn nữa là biện pháp bảo mật này dẫn đến một loạt nạn nhân gián tiếp, những người đã mua NFT nhưng bị chặn không thể bán hoặc chuyển nhượng sau đó. Theo quy định, thời gian phản hồi các báo cáo trong OpenSea ít nhất là một ngày. Vào thời điểm các NFT bị OpenSea chặn, chúng đã được bán cho một người mua khác và người này bây giờ trở thành nạn nhân mới của tội phạm.
Trong trường hợp 17 Azuki bị đánh cắp từ Arthur0x, 15 trong số đó bị đánh cắp trong cùng một phút và 2 Azuki còn lại bị đánh cắp sau đó 3 phút. Thời gian trung bình những NFT này nằm trong ví của hacker trước khi chúng được bán là 43 phút. Các biện pháp bảo mật từ OpenSea không đủ đáp ứng và không đủ nhanh chóng để thông báo cho nạn nhân cũng như ngăn chặn hacker. Họ cũng không thể thông báo cho người mua đủ kịp thời để ngăn họ mua NFT bị đánh cắp và trở thành nạn nhân gián tiếp.
Các NFT Azuki bị đánh cắp từ Aurther0x | Nguồn: Etherscan.io
Chặn NFT bị đánh cắp dẫn đến nạn nhân gián tiếp
Nạn nhân gián tiếp không phải là mục tiêu của vụ hack nhưng gián tiếp chịu thiệt hại tài chính do biện pháp chặn các NFT bị đánh cắp. Như đã thấy từ nhiều vụ hack gần đây, các NFT luôn được bán trước khi OpenSea triển khai lệnh chặn. Hậu quả của việc chặn NFT quá muộn là tạo ra nạn nhân gián tiếp và nhiều tổn thất hơn cho nhiều người hơn.
Có 3 trường hợp phổ biến minh họa cách mọi người có thể mua NFT bị đánh cắp và trở thành nạn nhân gián tiếp của một vụ hack:
Trường hợp 1: Alice đã mua một NFT nhưng sau đó mới phát hiện là tài sản đánh cắp. NFT bị chặn và không thể bán hoặc chuyển nó trên OpenSea. Do đó, cô yêu câu hỗ trợ. Sau vài tuần, team OpenSea Trust & Safety đề nghị hoàn lại 2,5% phí nền tảng và có thể là địa chỉ email của nạn nhân đã báo vụ trộm nếu may mắn. Sau đó, cô có một cuộc thảo luận dài với nạn nhân để thương lượng về khả năng dỡ bỏ lệnh chặn, nhưng rất nhiều trường hợp chẳng đi đến đâu.
Alice vẫn có thể bán NFT ở các thị trường khác nhưng số lượng bán của bộ sưu tập này rất thấp và không có người mua nào có thể đưa ra mức giá hợp lý trên các nền tảng khác ngoài OpenSea.
Phản hồi của OpenSea với nạn nhân gián tiếp đã mua NFT bị đánh cắp
Trường hợp 2: Alice đưa ra nhiều đề nghị khi đặt giá các NFT từ một bộ sưu tập. Một trong những lời đề nghị đã được hacker chấp nhận, sau đó người này nhận được thanh toán từ ví của nạn nhân và tẩu thoát. NFT đã bị chặn sau đó do một phần tài sản bị đánh cắp từ các giao dịch trái phép của nạn nhân.
Những trường hợp như thế này thường xảy ra bởi vì không thể chuyển nhượng các NFT được niêm yết trừ khi hủy bỏ niêm yết. Hacker lúc này phải chịu áp lực về thời gian nên sẽ có nhiều khả năng nhanh chóng chấp nhận đề nghị mua để lấy tiền rồi chuyển tiền ra ngoài. Trường hợp dưới đây cho thấy toàn bộ bộ sưu tập NFT của nạn nhân gián tiếp đã bị OpenSea chặn mà không có lời giải thích.
Trường hợp 3: Alice đã sở hữu một NFT khá lâu nhưng đột nhiên bị chặn và bị đánh dấu là “được báo cáo vì hoạt động đáng ngờ”. Tài khoản của người bán không bị xâm phạm và giao dịch đã xảy ra cách đây một thời gian. Vì không cần phải có bằng chứng để báo cáo NFT bị đánh cắp và chặn nó, nên bất kỳ ai cũng có thể gửi email đến team chống gian lận của OpenSea để chặn bất kỳ NFT nào.
Mặc dù có thể yêu cầu báo cáo của cảnh sát sau đó, nhưng OpenSea không có tuyên bố rõ ràng chỉ rõ bằng chứng cần thiết để chứng minh vụ hack cũng như điều kiện xác định NFT đánh cắp bị báo cáo sai sự thật và loại bỏ lệnh chặn. Hơn nữa, không có hình phạt được đưa ra cho việc báo cáo sai NFT bị đánh cắp.
NFT thường bị chặn mà không có lời giải thích hoặc bằng chứng như tin báo của cảnh sát cho nạn nhân gián tiếp. Về mặt lý thuyết, những NFT này vẫn có thể được giao dịch trên các nền tảng khác, nhưng do sự độc quyền của OpenSea trên thị trường (chiếm 95% tổng khối lượng giao dịch NFT), bất kỳ NFT nào bị chặn trên OpenSea gần như tương đương với việc đưa chúng ra khỏi thị trường mãi mãi.
Chặn NFT có thể làm tăng giá một cách giả tạo
Mối nguy hiểm phát sinh từ việc chặn giao dịch NFT bị đánh cắp trên nền tảng NFT lớn nhất OpenSea là nguồn cung giảm vĩnh viễn. Dựa trên quy luật cung cầu trong lý thuyết kinh tế học, khi nguồn cung đi xuống, giá cả sẽ tăng lên.
Ví dụ, bộ sưu tập Azuki có 10.000 NFT và hiện tại, chỉ có 1.100 được bán trên OpenSea. Vụ hack Arthur0x đánh cắp 17 NFT và những tài sản này đã bị chặn. Mặc dù 17 NFT chỉ chiếm khoảng 1,5% trong tổng số 1.100 nguồn cung lưu hành, nhưng giá đã cho thấy xu hướng tăng sau vụ hack. Vụ hack xảy ra vào ngày 22/3 và giá đạt đỉnh vào ngày 28/3 đến 20,96 ETH trước khi thông báo airdrop vào ngày 31/3 đẩy giá tăng 55% trong vòng một tuần.
Doanh số và giá trung bình của Azuki sau vụ hack | Nguồn: OpenSea
Mặc dù không phải tất cả 17 NFT bị đánh cắp đều bị chặn vì Arthur đã tìm cách khôi phục một số thông qua thương lượng với các nạn nhân gián tiếp để mua lại chúng, các vụ hack trong tương lai theo hình thức tương tự sẽ liên tục xảy ra và tổng số NFT bị chặn có thể tăng lên khi các vụ hack tiếp tục và không có thủ tục nào được áp dụng để bỏ chặn.
Sử dụng Azuki làm ví dụ một lần nữa, biểu đồ dưới đây thu thập số lượng bán và giá trung bình trong lịch sử để tạo ra đường cầu và giả định đường cung là tuyến tính. Điểm mà đường cung và đường cầu cắt nhau là giá cân bằng.
Khi cung liên tục giảm, tốc độ tăng giá càng nhanh khi độ dốc của đường cầu càng dốc. Với nguồn cung giảm tương đương 300 NFT từ 1.000 xuống 700 so với từ 700 xuống 400, giá tăng cao hơn cho nhóm thứ hai.
Như được hiển thị trong biểu đồ bên dưới, giá tăng từ 15 ETH lên 21 ETH từ mức giảm 1.000 đến 700, nhưng tăng nhiều hơn từ 21 ETH lên 28 ETH từ mức giảm 700 đến 400.
Đường cung và cầu của Azuki dựa trên doanh số và giá cả từ OpenSea
Rõ ràng việc chặn các NFT bị đánh cắp có thể làm tăng giá của bộ sưu tập một cách giả tạo. Nếu ai đó muốn lợi dụng sơ hở trong hệ thống bảo mật OpenSea bằng cách báo cáo sai nhiều NFT từ cùng một bộ sưu tập bị đánh cắp (vì không cần bằng chứng để báo cáo NFT bị đánh cắp), giá của bộ sưu tập có thể tăng đáng kể nếu nguồn cung thấp. Lỗ hổng này có thể tạo cơ hội cho việc thao túng giá trên thị trường NFT kém thanh khoản.
Trong mọi trường hợp, chặn NFT không phải là biện pháp hữu hiệu để ngăn chặn hành vi hack hoặc trừng phạt hacker mà ngược lại, tạo ra nhiều nạn nhân gián tiếp và kẽ hở cho những kẻ thao túng thị trường. Đây chắc chắn không phải là cách nên thực hiện, vậy có biện pháp bảo mật hiệu quả nào không?
Cần có các biện pháp phòng ngừa và hệ thống dựa trên bằng chứng
Hệ thống bảo mật OpenSea hiện tại không có biện pháp ngăn chặn để bảo vệ người dùng từ trước. Tất cả các biện pháp an toàn chỉ được thực hiện sau vụ hack, đó là một trong những lý do chính khiến chúng không hiệu quả.
Dựa trên các hành vi của hacker, thời gian là một thành phần quan trọng. Các biện pháp bảo mật có thể làm chậm hacker hoặc thông báo sớm cho nạn nhân là chìa khóa để giành chiến thắng trong trận chiến. Dưới đây là một số biện pháp phòng ngừa hiệu quả hơn mà OpenSea có thể thực hiện:
– Tạo một hệ thống cảnh báo sớm có thể phát hiện hoạt động tài khoản bất thường và gửi tin nhắn văn bản tức thì hoặc cảnh báo qua email thông báo cho người dùng về hoạt động đó để họ có đủ thời gian phản hồi. Ví dụ, nếu tài khoản chưa bao giờ mua hoặc chuyển nhiều hơn một NFT trong vòng một phút hoặc nếu tài khoản chưa từng có bất kỳ hoạt động nào trước đây trong một khoảng thời gian cụ thể (tức là múi giờ khi người dùng đang ở chế độ ngủ), thì các hoạt động đó sẽ bị các thuật toán học máy phát hiện. Chủ tài khoản có thể chọn thông báo ngay lập tức hoặc cho phép tự động khóa tài khoản để đảm bảo an toàn.
– Cung cấp cho người dùng tùy chọn giới hạn số lần chuyển hoặc bán NFT tối đa được phép trong một khung thời gian, tức là tối đa một lần chuyển hoặc bán trong vòng một phút hoặc khoảng thời gian tối thiểu được áp dụng giữa mỗi lần chuyển hoặc bán, tức là lần chuyển hoặc bán tiếp theo chỉ có thể xảy ra sau lần chuyển trước đó 15 phút. Các biện pháp này có thể ngăn chặn hacker đánh cắp số lượng lớn NFT trong một lần.
– Tạo trang ghi nhận các tài khoản đáng ngờ cho phép nạn nhân thêm ngay lập tức các tài khoản bị xâm phạm và tài khoản của hacker để công chúng giám sát. Điều này sẽ cung cấp cho tất cả người mua thông tin thời gian thực về các tài khoản đáng ngờ và khả năng kiểm tra chéo xem người bán có trong danh sách trước khi họ mua hay không. Sau đó nạn nhân có thể yêu cầu bằng chứng như báo cáo của cảnh sát để chứng minh tài khoản được báo cáo thực sự bị xâm phạm.
Một số biện pháp này có thể tạo ra cảnh báo sai và sự bất tiện. Nhưng vì đó là một cuộc chạy đua thời gian với hacker khi đưa ra các biện pháp ngăn chặn, người dùng thà được an toàn chứ không phải nhận lời xin lỗi để tránh trở thành nạn nhân tiếp theo.
Những quan niệm sai lầm phổ biến về hack tiền điện tử
Một quan niệm sai lầm phổ biến về hack tiền điện tử là “điều này sẽ không xảy ra với tôi vì nhận thức bảo mật của tôi cao và tôi sử dụng ví cứng”. Có thể đúng là thực hành bảo mật tốt sẽ giúp tránh được nạn hack độc hại trực tiếp, nhưng bất kỳ ai cũng có thể trở thành nạn nhân gián tiếp của một vụ hack nhắm vào người khác. Khi số lượng hack tăng lên, cơ hội trở thành nạn nhân gián tiếp cũng cao hơn rất nhiều.
Một quan niệm sai lầm khác là “miễn là tôi không giữ quá nhiều tiền trong ví nóng của mình, ví có bị xâm phạm hay không cũng không thành vấn đề”. Điều mà hầu hết người dùng không nhận ra là tổn thất tiền tệ chỉ là một hậu quả của hack. Mất ví Web3 giống như bạn mất toàn bộ lịch sử tín dụng. Bất kỳ lợi ích nào trong tương lai dựa trên các hoạt động trong quá khứ như airdrop hoặc tiếp cận các khoản vay và đòn bẩy cũng có thể biến mất với ví bị xâm phạm.
Mặc dù blockchain là một trong những công nghệ tài chính an toàn nhất từng được tạo ra, nhưng các vụ tấn công độc hại đối với các nền tảng dựa trên tiền điện tử là mối đe dọa lớn nhất đối với liên doanh Web3.
Với bản chất không thể đảo ngược của blockchain và OpenSea thiếu các biện pháp bảo mật phòng ngừa, rõ ràng giải pháp tốt nhất mà OpenSea đưa ra sau vụ hack đấu giá tên miền Ethereum là cung cấp cho hacker 25% lợi nhuận từ doanh số để đổi lấy NFT bị đánh cắp. Chỉ trong thế giới của thị trường NFT, tội phạm mới có thể được thưởng chứ không bị trừng phạt vì một tội nghiêm trọng như vậy.
Ở vị trí độc quyền của thị trường NFT, OpenSea chắc chắn có thể làm tốt hơn và thực hiện các biện pháp bảo mật nghiêm túc hơn cũng như cung cấp nhiều giải pháp bảo vệ hơn cho người dùng của mình.
(Nguồn: tapchibitcoin.io/hack-nft-tren-opensea-dang-gay-hai-cho-nguoi-dung-va-lam-giam-uy-tin-nen-tang.html)