Voici comment le côté obscur du Web3 s’en débarrasse

Comment les voleurs de NFT s’en sortent-ils en volant des millions (voire des milliards) de dollars, à la vue de tous ? Les transactions cryptographiques se produisent dans le grand livre public, donc trouver le coupable devrait être simple. Malgré cela, il est presque impossible d’attraper les voleurs NFT.

Une partie du problème vient de la zone, où les escrocs et les voleurs NFT prospères vivent au premier plan de l’espace. Mais il y a des raisons plus profondes à cela que le simple fait d’apprendre sur l’espace – et l’examen de l’histoire plus profonde peut nous aider tous à mieux nous protéger contre de futures attaques.

Victimes de vol NFT, de grands arts et de célébrités

La Les braquages ​​les plus chers de NFT Il ciblait des NFT de haut niveau tels que le Bored Ape Yacht Club, le Mutant Ape Yacht Club et les Moonbirds. Les prix élevés et la popularité de ces NFT ont eu un impact écrasant sur beaucoup.

  • Le propriétaire d’une galerie d’art, Todd Kramer, a perdu près de 2,2 millions de dollars en NFT.
  • Le co-fondateur de Cameo, Stephen Galanis, est décédé Plus de 200 000 $ Dans les NFT et les crypto-monnaies.
  • L’acteur Seth Green a perdu quatre NFT et en a acheté un pour 269 000 $ pour obtenir les droits de l’utiliser dans sa nouvelle émission de télévision. Pub Cheval Blanc.

La liste des NFT volés est beaucoup plus longue que ces exemples de célébrités, mais le fil conducteur est que très peu récupèrent les NFT.

Comment les voleurs NFT s’en tirent

Les mécanismes d’attraction du vol sont relativement simples. Le plus souvent, le vol commence par une attaque de phishing et se termine par un mélange et des retraits de crypto-monnaie. Voici les principales étapes qu’un voleur est susceptible de suivre :

  • Accès (ou contrôle) au portefeuille cryptographique en ligne de la victime
  • Transfert de NFT et de crypto-monnaies du portefeuille de la victime vers le portefeuille privé
  • Vendre des NFT à bas prix pour assurer un échange rapide
  • Envoyez la crypto-monnaie du portefeuille du voleur via un mélangeur de crypto-monnaie
  • Retrait de crypto-monnaies mixtes vers le 3ème portefeuille, brouillant les chemins (plus à ce sujet ci-dessous)

Examinons de plus près la première étape de ce processus ; Ensuite, nous approfondirons les raisons pour lesquelles la transparence Web3 n’aide pas à attraper les voleurs.

Comment les voleurs NFT ont accès à vos portefeuilles cryptographiques

Trusted NFT Markets travaille dur pour maintenir un haut niveau de sécurité et défendre ses clients contre les voleurs. Jusqu’à présent, ils ont surtout réussi à empêcher les pirates d’entrer. Mais les voleurs et les pirates ont mis en œuvre avec succès d’autres stratégies via les réseaux sociaux, les faux e-mails et les sites Web.

Ce sont les stratégies de vol NFT les plus courantes. Nous allons le déballer alors.

  • Attaques traditionnelles de phishing par e-mail
  • Attaques de phishing sur les réseaux sociaux et les forums
  • Pêche à la traîne – exploiter les contrats intelligents
  • Bogues du marché et failles de sécurité

Attaque classique d’hameçonnage par e-mail

La plupart des internautes connaissent Attaques de phishing – Surtout par e-mail. Ils commencent par un e-mail conçu pour donner l’impression qu’il provient d’une banque, d’un service postal ou d’un autre fournisseur de services.

Le message contient une demande urgente de cliquer sur un lien, d’effectuer un paiement ou de réinitialiser un mot de passe. Le lien cliqué vous redirige vers un site conçu pour ressembler à la vraie affaire et vous tente de partager votre nom d’utilisateur et votre mot de passe. Les attaques de phishing NFT vont des demandes classiques de mises à jour de mot de passe à des offres exclusives et (bien sûr) limitées dans le temps pour des jetons gratuits – connus sous le nom de airdrops.

Un faux site Web est souvent conçu pour ressembler le plus possible au marché officiel. Cela inclut une technique appelée typosquatting, où l’URL est proche de l’URL de la plate-forme cible. De cette façon, les voleurs augmentent leurs chances de faire de nouvelles victimes via un trafic organique qui ne remarque pas les fautes de frappe. Comme les attaques de phishing traditionnelles, cette approche sécurise l’accès des voleurs NFT aux portefeuilles de leurs victimes, qui sont ensuite vidés selon l’approche ci-dessus.

Attaques de phishing sur les réseaux sociaux et les forums

Alors que l’envoi sur un réseau étendu fonctionne bien avec les e-mails de phishing classiques, le nombre de victimes potentielles diminue considérablement pour les voleurs NFT. C’est pourquoi ils exploitent également d’autres canaux pour les attaques de phishing. C’est peut-être l’une des raisons pour lesquelles les célébrités sont parmi les cibles des gros vols de NFT. Dans un cas, les pirates ont réussi Accès au Discord Bored Ape Yacht Club. À partir de là, ils ont publié des liens malveillants vers un public très engagé de détenteurs de NFT.

Dans un cas moins dramatique, les voleurs NFT se sont fait passer pour une équipe de support pour le logiciel de portefeuille sur Twitter et ont envoyé des messages directement aux détenteurs NFT désignés.

Pêche à la traîne sur glace pour les NFT

Comme pour la plupart des choses Web3, les itinéraires potentiels empruntés par les escrocs sont aussi complexes que nouveaux. Au lieu d’attirer les mots de passe de leurs victimes, des pirates sophistiqués ont créé des contrats intelligents qui leur permettent de vider les portefeuilles de leurs victimes. Cela permet aux pirates d’éviter les mesures de sécurité telles que l’authentification à deux facteurs (plus d’informations ci-dessous).

Lors d’une attaque d’ice phishing, le pirate informatique crée une interface de contrat intelligente qui donne l’impression qu’elle provient d’une plate-forme connue. Cela pourrait être pour un protocole de liquidité automatisé tel que celui qui fonctionne sur Uniswap et SushiSwap. Pour que cela fonctionne, les utilisateurs signent des contrats intelligents qui permettent aux plateformes d’exécuter des transactions en leur nom. À moins que les victimes ne soient très prudentes et prudentes, elles peuvent facilement ignorer que les contrats intelligents des pirates ont une adresse modifiée.

Une attaque d’ice phishing a été effectuée sur Protocole DeFi Badger DAO fin 2021. En injectant un script malveillant, les pirates ont réussi à voler 121 millions de dollars en seulement 10 heures. L’approche est décrite en détail dans cet article sur Attaques d’hameçonnage sur glace par sécurité Microsoft..

Bogues du marché et failles de sécurité

Les voleurs NFT ont également profité des bogues et de la flexibilité des protocoles utilisés pour les contrats intelligents NFT. Une tactique similaire à l’ice phishing a vu les pirates laisser les champs de contrat intelligents vides et les remplir après que les victimes se soient inscrites.

Une autre approche consistait à exploiter un bogue dans l’historique des transferts d’OpenSea. Bien que ce ne soit pas un piratage, cela montrait une mauvaise intention. Certains utilisateurs ont déplacé leurs NFT d’un portefeuille à un autre. selon la couverture le bordLes utilisateurs l’ont fait pour éviter de payer les frais de gaz nécessaires pour valider les transactions sur la blockchain.

Étant donné que ces utilisateurs n’ont pas mis à jour les contrats intelligents de leurs NFT, ils se sont exposés à une vulnérabilité dans OpenSea. Selon l’interface utilisateur, l’historique des transactions et les frais d’essence ont disparu. Mais l’ancienne liste était toujours active sur la blockchain pour que tout le monde puisse la voir.

Lorsque ces utilisateurs transféraient leurs NFT vers leurs anciens portefeuilles pour inclusion, les NFT étaient automatiquement répertoriés au dernier prix vérifié sur la blockchain.

Cela a entraîné un profit rapide de près de 904 000 $ en ETH en une seule journée pour un seul utilisateur d’OpenSea avec de mauvaises intentions. Ils ont acheté des NFT célèbres à d’anciens prix et les ont vendus à des prix actuels incroyables.

Cela a relancé les discussions sur qui est responsable de quoi dans le Web3 décentralisé et non gouverné. Nous y reviendrons.

Pourquoi la transparence Web3 n’a-t-elle pas arrêté le vol NFT

Quelle que soit l’approche, tout voleur dans l’espace Web3 a besoin d’un plan de sortie solide. Étant donné que chaque transaction blockchain est cotée en bourse, l’élimination du vol NFT nécessite des efforts considérables.

Après avoir vendu un NFT (groupe) volé et acquis une crypto-monnaie – principalement des ETH – le voleur de NFT a plusieurs options :

  • Vendez de la crypto-monnaie contre de la monnaie fiduciaire sur l’échange le plus rapidement possible
  • Transférez des ETH vers les portefeuilles des conspirateurs en échange de monnaie fiduciaire
  • Cachez leurs traces et attendez un peu

Suivre le chemin devient plus difficile si les voleurs NFT réussissent à échanger leur butin crypto en monnaie fiduciaire. À partir de là, ils peuvent utiliser l’ancienne approche criminelle du blanchiment d’argent. Mettez de l’argent sale dans des affaires légitimes et mélangez-le avec de l’argent propre.

Cependant, les criminels Web3 peuvent également combiner le cryptage pour rendre leurs activités propres en exploitant les initiatives de confidentialité Web3. La confidentialité est particulièrement importante pour de nombreux utilisateurs précoces de Web3, car les voleurs NFT et autres cybercriminels sont connus pour utiliser ces options pour couvrir leurs traces. Cela a conduit à une discussion récente sur les mélangeurs cryptographiques tels que Blender.io, UniJoin et, en particulier, Tornado Cash.

Les mélangeurs cryptographiques offrent des contrats intelligents qui permettent aux utilisateurs de déposer des quantités spécifiques d’ETH dans des blocs allant jusqu’à 60 000 transactions. Après une période de séquestre, l’Ethereum déposé peut être retiré vers d’autres portefeuilles à l’aide d’un jeton du contrat intelligent. Le processus d’agrégation rend presque impossible le suivi des transactions.

Tornado Cash a été lié à des quantités massives de blanchiment de crypto-monnaie. Cela a conduit le Trésor américain Interdire aux habitants d’utiliser Tornado Cash Forcer Tornado Cash à fermer.

Co-fondateur de Tornado Cash Roman Semenov Il a également été banni de GitHub. Mais le protocole de mixage open source peut toujours être exécuté et a même été Re-téléchargé sur github par un professeur de cryptologie afin de tester le niveau de liberté d’expression sur GitHub, propriété de Microsoft. Il reste donc à voir si la réglementation aura un impact réel sur les cybercriminels ou ne fera qu’entraver la vie privée des utilisateurs ordinaires.

Comment le vol NFT défie le cœur du Web3

Jusqu’à présent, le principe de Web3 était “le code est la loi”. Lorsqu’une transaction est vérifiée sur la blockchain, c’est un fait. C’est la base de Bitcoin, la crypto-monnaie peer-to-peer originale. C’est cette approche qui a permis de construire le Web3 sans centralisation ni instances de régulation.

Mais avec l’afflux d’utilisateurs moins expérimentés en technologie, Web3 peut être mis au défi. Dans la plupart des cas de vol de NFT et de “déductions involontaires”, les détenteurs de NFT s’en sont rendus vulnérables.

Cela peut être un signe que les détenteurs de NFT ne sont pas motivés par une croyance en l’auto-réservation et la responsabilité et par la lecture du blog dans le cadre de leurs recherches. Alors que les régulateurs et les marchés tentent de lutter contre le vol NFT, un manque d’adaptation au sein de la communauté NFT peut entraîner des changements au cœur du Web3. Les tags sont déjà là :

C’est peut-être le début du fork Web3 tel que nous le connaissons. Nous pouvons voir une gamme d’initiatives plus structurées et conviviales qui répondent aux besoins des utilisateurs moins férus de technologie. Que cela vous semble bon ou non, réfléchissons aux meilleurs moyens d’éviter le vol NFT.

Étapes pour éviter le vol NFT

La plupart des cas de vol de NFT sont rendus plus probables par les actions (ou omissions) des détenteurs de NFT eux-mêmes. C’est ainsi que vous évitez d’être cette personne.

Sauvegardez votre phrase de récupération sur papier

Bien sûr, vous pouvez aussi le graver sur la pierre. Mais faites une sauvegarde hors ligne analogique de la sauvegarde de la passerelle de récupération. Ne mettez jamais la phrase de récupération de votre portefeuille crypto sur Internet. Pas même comme une image d’une sauvegarde papier manuscrite. Le journaliste technologique danois Nikolaj Son avait Portefeuille Bitcoin vidé après le piratage de son album photo cloud.

Activer l’authentification à deux facteurs (2FA)

Voler votre mot de passe est une chose. Mais c’est un autre type de vol pour sécuriser l’accès à l’appareil que vous utilisez pour la deuxième étape d’authentification. Alors protégez vos NFT avec une application 2FA comme Authentificateur Google Ou une clé 2FA pour des appareils comme Clé de sécurité Google Titan.

Stockez vos NFT hors ligne dans des portefeuilles froids

Les portefeuilles cryptographiques en ligne sont appelés portefeuilles chauds. Puisqu’ils sont en ligne, ils peuvent être piratés ou disparaître avec l’entreprise derrière eux. Lorsque vous transférez des NFT et des crypto-monnaies vers un portefeuille matériel hors ligne, ils ne peuvent pas être piratés. Inclure les portefeuilles froids populaires TrésorEt le budgetEt le Ellipal.

Sécurisez votre communauté avec l’authentification Web3

Le piégeage du contenu est devenu de plus en plus important avec le développement de la communauté NFT. Un accès sécurisé à plusieurs niveaux est essentiel pour garantir que seules les bonnes personnes peuvent accéder au contenu de votre NFT. SlashAuth Sécurise facilement cet aspect de la propriété NFT des voleurs potentiels.

Les voleurs sont susceptibles de s’en tirer

Ce triste fait est que le vol NFT est susceptible de rester apparent pendant un certain temps encore. Certains développements offrent l’espoir d’une plus grande sécurité, mais la possibilité que la société les rejette ou soit rattrapée par des voleurs est également grande. Nous verrons probablement plus de réglementation et de gouvernance introduites dans l’espace à l’avenir, mais cela devrait se faire au détriment de la vie privée. Pour beaucoup, cela ne vaut peut-être pas le prix.

De nouvelles initiatives telles que l’authentificateur NFT de Verasity sont également en cours de création. Cela peut être un énorme pas en avant pour la sécurité des utilisateurs, mais cela peut simplement forcer les voleurs à trouver de nouvelles façons d’exploiter les propriétaires.

En fin de compte, la protection des actifs appartient à l’individu. Nous devons tous faire de notre mieux pour protéger nos données, et c’est un sentiment qui est largement vrai sur tous les sites Web3. La meilleure chose que vous puissiez faire est de rester vigilant, conscient et au-dessus des mesures de sécurité Web3 décrites ci-dessus.
Note de l’éditeur: Cet article a été contribué par cachemire.


#Voici #comment #côté #obscur #Web3 #sen #débarrasse

Leave a Comment

Your email address will not be published. Required fields are marked *