01 Tháng Ba,2024 Robert Lê
Lỗ hổng mới nhất của OpenSea đặt ra một câu hỏi lớn hơn và sâu hơn liên quan đến cơ sở hạ tầng bảo mật hiện có của hệ sinh thái NFT toàn cầu.
Bất chấp sự biến động đang diễn ra đang gây khó khăn cho lĩnh vực tài sản kỹ thuật số, một thị trường ngách chắc chắn vẫn tiếp tục phát triển mạnh mẽ là thị trường mã thông báo không khả dụng (NFT). Điều này được thể hiện rõ ràng bởi thực tế là ngày càng có nhiều công ty vận động và chuyển đổi chính thống bao gồm Coca-Cola, Adidas, Sở giao dịch chứng khoán New York (NYSE) và McDonalds, trong số nhiều công ty khác, đã tiến vào hệ sinh thái Metaverse đang phát triển mạnh mẽ. trong những tháng gần đây.
Ngoài ra, do chỉ tính riêng trong năm 2021, doanh số bán NFT toàn cầu đạt 40 tỷ USD, nhiều nhà phân tích kỳ vọng xu hướng này sẽ tiếp tục trong tương lai. Ví dụ, ngân hàng đầu tư Jefferies của Mỹ gần đây đã nâng dự báo vốn hóa thị trường cho lĩnh vực NFT lên hơn 35 tỷ USD vào năm 2022 và hơn 80 tỷ USD vào năm 2025 – một dự báo cũng được JP Morgan lặp lại.
Tuy nhiên, như với bất kỳ thị trường nào đang phát triển với tốc độ cấp số nhân như vậy, các vấn đề liên quan đến bảo mật cũng phải được mong đợi. Về vấn đề này, thị trường mã thông báo không thể xóa được (NFT) nổi tiếng OpenSea gần đây đã trở thành nạn nhân của một cuộc tấn công lừa đảo diễn ra chỉ vài giờ sau khi nền tảng này công bố bản nâng cấp theo kế hoạch kéo dài một tuần để xóa tất cả các NFT không hoạt động.
Vào ngày 18 tháng 2, OpenSea tiết lộ rằng họ sẽ bắt đầu nâng cấp hợp đồng thông minh, yêu cầu tất cả người dùng chuyển các NFT được liệt kê của họ từ chuỗi khối Ethereum sang một hợp đồng thông minh mới. Do nâng cấp, những người dùng không hỗ trợ quá trình di chuyển nói trên có nguy cơ mất danh sách cũ và không hoạt động của họ.
Điều đó nói rằng, do thời hạn di chuyển nhỏ do OpenSea cung cấp, các hacker đã có cơ hội tiềm tàng. Trong vòng vài giờ sau khi thông báo, đã tiết lộ rằng các cá nhân bên thứ ba bất chính đã bắt đầu một chiến dịch lừa đảo tinh vi, đánh cắp NFT từ nhiều người dùng được lưu trữ trên nền tảng trước khi họ có thể được chuyển sang hợp đồng thông minh mới.
Cung cấp phân tích kỹ thuật của vấn đề, Neeraj Murarka, giám đốc kỹ thuật và đồng sáng lập của Bluezelle, một blockchain cho hệ sinh thái GameFi, nói với Cointelegraph rằng vào thời điểm xảy ra sự cố, OpenSea đang sử dụng một giao thức có tên Wyvern, một mô-đun công nghệ tiêu chuẩn. hầu hết các ứng dụng web NFT đều sử dụng vì nó cho phép quản lý, lưu trữ và chuyển các mã thông báo này trong ví của người dùng.
Vì hợp đồng thông minh với Wyvern cho phép người dùng làm việc với các NFT được lưu trữ trong “ví” của họ, nên hacker có thể gửi email đến các khách hàng của OpenSea giả danh là đại diện cho nền tảng, khuyến khích họ ký các giao dịch “mù”. Murarka nói thêm:
“Nói một cách ẩn dụ, điều này giống như việc ký vào một tấm séc trống. Thông thường, điều này không sao nếu người nhận thanh toán là người nhận dự kiến. Hãy nhớ rằng bất kỳ ai cũng có thể gửi email nhưng có vẻ như được gửi bởi người khác. Trong trường hợp này, người nhận tiền dường như là một tin tặc duy nhất có thể sử dụng các giao dịch đã ký này để chuyển ra ngoài và đánh cắp hiệu quả NFT từ những người dùng này ”.
Ngoài ra, trong một chuỗi sự kiện thú vị, sau sự cố, hacker dường như đã trả lại một số NFT bị đánh cắp cho chủ sở hữu hợp pháp của họ, với những nỗ lực hơn nữa được thực hiện để trả lại các tài sản bị mất khác . Alexander Klus, người sáng lập Creaton, một nền tảng tạo nội dung Web3, nói với Cointelegraph rằng chiến dịch email lừa đảo đã sử dụng một giao dịch ký kết độc hại để phê duyệt tất cả các khoản nắm giữ để có thể rút hết bất cứ lúc nào. “Chúng tôi cần các tiêu chuẩn ký kết tốt hơn (EIP-712) để mọi người có thể thực sự thấy họ đang làm gì khi phê duyệt một giao dịch.”
Cuối cùng, Lior Yaffe, đồng sáng lập và giám đốc của Jelurida, một công ty phần mềm blockchain, đã chỉ ra rằng tập phim là kết quả trực tiếp của sự nhầm lẫn xung quanh việc nâng cấp hợp đồng thông minh được lên kế hoạch kém của OpenSea, cũng như kiến trúc phê duyệt giao dịch của nền tảng.
>>> Xem thêm: DAO Sẽ Là Hot Trend 2022 Và Sẽ Phá Vỡ Nhiều Ngành Công Nghiệp
Theo quan điểm của Murarka, các ứng dụng web sử dụng hệ thống hợp đồng thông minh Wyvern nên được tăng cường với các cải tiến về khả năng sử dụng để đảm bảo rằng người dùng không bị các cuộc tấn công lừa đảo như vậy hết lần này đến lần khác, thêm vào:
“Cần đưa ra những cảnh báo rất rõ ràng để giáo dục người dùng về các cuộc tấn công lừa đảo và khiến họ hiểu rằng email sẽ không bao giờ được gửi đi, yêu cầu người dùng thực hiện bất kỳ bước nào. Các ứng dụng web như OpenSea nên áp dụng một giao thức nghiêm ngặt để không bao giờ giao tiếp với người dùng qua email ngoài việc có thể chỉ là dữ liệu đăng ký ”.
Điều đó nói rằng, ông đã thừa nhận rằng ngay cả khi OpenSea áp dụng các tiêu chuẩn và giao thức bảo mật / quyền riêng tư an toàn nhất, thì người dùng vẫn phải tự nhận thức về những rủi ro này. “Thật không may, bản thân ứng dụng web thường phải chịu trách nhiệm, mặc dù đó là người dùng đã bị lừa đảo. Ai chịu trách nhiệm? Câu trả lời là không rõ ràng, ”ông lưu ý.
Jessie Chan, giám đốc nhân sự tại ParallelChain Lab, một hệ sinh thái blockchain phi tập trung, chia sẻ với Cointelegraph rằng bất kể toàn bộ cuộc tấn công được tổ chức như thế nào, vấn đề không hoàn toàn phụ thuộc vào các giao thức bảo mật hiện có của OpenSea mà còn phụ thuộc vào nhận thức của người dùng chống lừa đảo. Câu hỏi vẫn còn là liệu nhà điều hành thị trường có thể cung cấp đầy đủ thông tin cho người dùng của mình để giúp họ thông báo về cách đối phó với các tình huống như vậy hay không.
Một khả năng khác để giảm thiểu bất kỳ sự kiện lừa đảo tiềm ẩn nào là bằng cách thúc đẩy tất cả các tương tác giữa người dùng và ứng dụng web của họ chỉ thông qua việc sử dụng giao diện dành riêng cho thiết bị di động / máy tính để bàn. “Nếu tất cả các tương tác yêu cầu sử dụng ứng dụng dành cho máy tính để bàn, thì các cuộc tấn công như vậy có thể bị bỏ qua hoàn toàn”.
Cung cấp ý kiến của mình về chủ đề này, Yaffe lưu ý rằng vấn đề chính – nằm ở trung tâm của toàn bộ vấn đề này – là kiến trúc cơ bản của hầu hết các thị trường NFT, cho phép người dùng chỉ cần ký một phê duyệt cụ thể cho hợp đồng của bên thứ ba để sử dụng ví riêng của họ mà không đặt giới hạn chi tiêu:
“Vì nhóm OpenSea không thực sự tìm ra nguồn gốc của hoạt động lừa đảo, nó có thể sẽ xảy ra lần nữa vào lần tới khi họ cố gắng thực hiện thay đổi đối với kiến trúc của mình”.
>>> Xem thêm: Coinbase Đề Xuất Công Nghệ Để Thúc Đẩy Tuân Thủ Các Lệnh Trừng Phạt Toàn Cầu
Murarka lưu ý rằng cách tốt nhất để loại bỏ khả năng xảy ra các cuộc tấn công này là nếu mọi người bắt đầu sử dụng ví phần cứng. Điều này là do hầu hết các ví phần mềm cũng như các giải pháp lưu trữ giám sát khác quá dễ bị tổn thương trong thiết kế và triển vọng hoạt động chung của chúng. Anh ấy giải thích thêm: “Giống như Bitcoin, Ethereum, v.v., bản thân các NFT nên được chuyển sang tài khoản ví phần cứng thay vì để chúng trên một nền tảng tập trung,” nói thêm:
“Người dùng cần phải nhận thức rõ ràng về những rủi ro khi phản hồi và hành động khi nhận được email mà họ nhận được. Email có thể bị làm giả rất dễ dàng và người dùng cần chủ động về sự an toàn của tài sản tiền điện tử của họ ”.
Một điều khác mà chủ sở hữu NFT cần nhớ là họ chỉ nên truy cập vào các ứng dụng web sử dụng giao thức bảo mật chất lượng cao, kiểm tra xem các thị trường được truy cập có sử dụng cơ chế HTTPS (ít nhất) trong khi có thể nhìn thấy rõ ràng biểu tượng khóa trên trên cùng bên trái của cửa sổ trình duyệt của họ – trỏ chính xác đến công ty dự định – khi truy cập bất kỳ trang web nào.
Yaffe tin rằng người dùng nên cẩn thận với các phê duyệt hợp đồng và theo dõi chính xác các hợp đồng mà họ đã bật mí trong quá khứ. “Người dùng nên thu hồi các phê duyệt không cần thiết hoặc không an toàn. Nếu có thể, người dùng nên chỉ định giới hạn chi tiêu hợp lý cho mỗi lần phê duyệt hợp đồng, ”anh kết luận.
Cuối cùng, Chan tin rằng trong một tình huống lý tưởng, người dùng nên giữ ví của họ trên một nền tảng chuyên dụng mà họ không sử dụng để đọc email hoặc duyệt web, nói thêm rằng bất kỳ con đường nào như vậy đều phải tuân theo mọi cách thức tấn công của bên thứ ba. Cô ấy nói thêm:
“Điều này là bất tiện, nhưng khi xử lý các tài sản có giá trị lớn và không có khả năng truy đòi trong trường hợp trộm cắp, hết sức cẩn thận là chính đáng. Và, như đối với tất cả các giao dịch tài chính, họ nên rất cẩn thận trong việc quyết định giao dịch với ai, vì các đối tác cũng có thể lấy cắp tài sản của bạn và biến mất. “
Do đó, trong khi tiến vào một tương lai được thúc đẩy bởi NFT và các dịch vụ kỹ thuật số mới tương tự khác, vẫn phải xem các nền tảng hoạt động trong không gian này tiếp tục phát triển và trưởng thành như thế nào, đặc biệt là khi một lượng vốn ngày càng lớn tiếp tục tiến vào thị trường NFT.
>>> Xem thêm: Stablecoin Cần Phải Phát Triển Để Xứng Đáng Với Tên Gọi Của Chúng
Bài viết của Blogtaichinh.com.vn tới đây là kết thúc. Hi vọng những thông tin này hữu ích với các bạn!
Theo dõi thêm các kênh Channel của Blogtaichinh.com.vn để cập nhật thêm nhiều thông tin thú vị, mới nhất về thị trường trường tài chính và tiền điện tử:
Telegram: https://t.me/blogtaichinhchannel
Youtube: https://youtube.com/c/blogtaichinh
Hẹn gặp lại các bạn trong các bài chia sẻ, hướng dẫn tiếp theo. Tạm biệt!
