המערכת האקולוגית של NFT וסיכוני אבטחה קשורים

זמן קריאה: 6 דקות

2021 הייתה שנה מעניינת עבור NFTs. 

ה-NFTs היקרים ביותר נמכרו במהלך תקופה זו, כולל יצירות האמנות של Beeple, אוספים נדירים של CryptoPunk וכו'. לכן, התכונה המסקרנת שמתקשרת עם ה-NFTs היא ההעברה לאימות ו-Trustless. 

בקצרה, העברות NFT נרשמות בבלוקצ'יין, מה שמאפשר לרכוש מידע לאימותו בעת הצורך. כמו כן, blockchain מגבה את ההעברות בין הקונה והמוכר של NFTs, מה שהופך את העסקאות לאמינות. 

בצד החיסרון, אבטחת NFT מטיל ספק בדאגות הלגיטימיות ובפעילויות הונאה. בלוג זה חולק את כל ההתרחשויות באקוסיסטם אבטחת הסייבר של NFT עם הנתונים הקשורים לאבטחת מטבעות קריפטוגרפיים. 

בהתחשב בקלות ובאמינות של הבלוקצ'יין של Ethereum, NFTs הפועלים עליו מנותחים כדי למצוא את בעיות האבטחה התפעוליות של מטבעות קריפטוגרפיים. 

מושגי מפתח המכוסים בבלוג זה

• סקירה כללית של Ethereum blockchain ותפקוד NFTs
• ניתוח המערכת האקולוגית של NFT למשתמשים, לשוקי NFT ולישויות חיצוניות
• פגמי אבטחה של NFT בהם נתקלים בשוקי NFT
• בעיות העומדות בפני גורמים חיצוניים
• איום ה-NFT החדש ביותר שבוצע על ידי המשתמשים

עבודה של NFTs על Ethereum blockchain

Ethereum blockchain היא רשת הבלוקצ'יין השנייה הכי מאומצת אחרי הביטקוין. המודעות של Ethereum עלתה עד כדי כך שמכמעט 10 משתמשים בשנת 000, היא גדלה ל-2020 מיליון משתמשי DeFi ב-Ethereum בשנתיים. 

טכנולוגיית Ethereum מפעילה את אסימוני ה-ETH המקוריים שלה ודאפסים רבים אחרים שנבנו עליה. מופעל על הוכחת עבודה מנגנון קונצנזוס, הכורים כאן פותרים את האתגרים ההצפנה כדי להוסיף בלוקים לרשת Ethereum.

הביצוע והפריסה החכמה של החוזה מתבצעת על מכונה וירטואלית של Ethereum לעבד את הפעולות. אסימונים בנויים על ה-Ethereum blockchain שיכול להיות משני סוגים: Fungible ו-Non-fungible. 

האסימונים הניתנים לשינוי הם בדרך כלל תואמים ל-ERC-20, בעוד שאסימונים שאינם ניתנים לשינוי הם בתקני ERC-721 ו-ERC-1155. ERC-721 הוא אחד מהסטנדרטים הידועים להטמעת אסימונים שאינם ניתנים לשינוי ב-Ethereum blockchain. 

פירוק המערכת האקולוגית של NFT

כלכלת ה-NFT מורכבת משלושה מחלקות,

• משתמש מי הם הקונים והמוכרים של נכסים דיגיטליים
• שווקים המשמשים כמתווכים לפרסום הנכסים והנעת מכירתם
• ישויות חיצוניות המספקות תשתית ושירותי אירוח למשתמשים ולשוקי NFT

משתמש

המשתמשים בכלכלת ה-NFT מחולקים לשלוש קטגוריות כקונים, מוכרים ויוצרי תוכן. 

• יוצרי תוכן יוצרים אמנות דיגיטלית אך עשויים שלא להיות חזקים מבחינה טכנית בהמרתם ל-NFTs. חלק מהיוצרים עשויים לבצע את התפקיד של יצירה והטבעה, בעוד שאחרים מאשרים את הזכויות למוכרים להמיר אותם כ-NFTs.
• מוכרים מטביעים NFTs ומשאירים אותם פתוחים בשוקי NFT לרכישה של קונים.
• קונים מציעים את ה-NFTs באתרי השוק ומשיגים בעלות על הנכסים. 

שווקים

עבודת השוק כוללת שני ממשקים:

• חזית אינטרנט 

זה המקום שבו המשתמש מקיים אינטראקציה כדי לרכוש NFTs מהמוכרים או ליזום עסקאות. ולשם כך, האתר מבקש אימות משתמשים כדי להגדיר חשבונות לרישום NFTs או רכישת אמנות דיגיטלית. 

• חוזים חכמים

העסקאות המתרחשות בשווקים מתקשרות עם החוזים החכמים לביצוע פעילויות. קיימים שני סוגים של חוזים חכמים:

חוזי Marketplace: כל הפעילויות של שוק NFT והפרוטוקול שלו מנוהלות באמצעות חוזים אלה.

חוזים סמליים: לגבי ביצוע העברת האסימון, העבודה נעשית על ידי חוזים סמליים. 

כל העסקאות ופעילויות האסימונים נחשבות לאירועים בשוקי ה-NFT. האירועים מאוחסנים ברשת או מחוץ לרשת.

• ברשת כולל אחסון אירועים בבלוקצ'יין, שאמור לעלות עמלת גז גבוהה. לדוגמה: SuperRare, Axie Infinity

• מחוץ לשרשרת כולל אחסון אירועים במאגרי מידע מחוץ לרשת, שהם ידידותיים לגז. לדוגמה: נחמד

• היברידי, לעומת זאת, קושר יחד הן על השרשרת והן מחוץ לשרשרת, מה שמאומת באמצעות בדיקה קריפטוגרפית. לדוגמה: OpenSea

בקיצור, Marketplace מאפשר אימות משתמשים, הטבעת אסימונים, רישום אסימונים ומסחר באסימונים, 

ישויות חיצוניות

ישויות חיצוניות מספקות שירותי אירוח כמו IPFS ליוצרים כדי לאחסן את יצירות האמנות שלהם וכן הלאה. 

סיכוני אבטחת מטבעות קריפטו שבהם נתקלים שוקי NFT

שווקי NFT כגון OpenSea, Nifty gateway, Rarible, SuperRare וכו', נחקרו עבור גניבות אבטחה ופעילויות תוקפים. האיום הבא על NFT התבסס על מסקנות הממצאים. 

אימות זיהוי עבור אימות משתמש: אישור מידע אישי מזהה מונע הלבנת הון. אך לא נמצאו שווקי NFT המחייבים את תהליך ה-KYC, מה שעלול לגרום למשתמשים ליצור מספר חשבונות שקשה לעקוב אחריהם. 

אימות חוזה אסימון: חוזה אסימון נחשב לאפשרי אימות עם הגשת קוד המקור ל-Etherscan לצורך בדיקה ציבורית כדי לזהות באגים כלשהם. אבל אף אחד מהשווקים, כולל OpenSea, Sorare ו-Axie Infinity, לא מחייב לשמור את קוד החוזה בקוד פתוח. 

התעסקות במטא נתונים: מטא נתונים של אסימון מצביעים על הנכס הספציפי. אז, מטא נתונים אלה המאוחסנים בדומיינים של צד שלישי ניתנים לשינוי, מה שהופך אותם לרגישים להתקפות. זה מזוהה ששוקי NFT לא עברו כל אמצעי מניעה לשיבוש מטא נתונים, ובכך הם האיום החדש ביותר עבור פריצות ל-NFT. 

אימות קונה או מוכר: החשבונות המאומתים של מוכרים שמחזיקים את התגים בפרופיל שלהם מושכים תשומת לב עצומה מקהילת הקונים. שווקי NFT כגון Foundation מחמירים בכל הנוגע לאישור אימות מוכר. בעוד שאחרים, כגון OpenSea, Rarible משאירה לקונה למצוא את האותנטיות של המוכר מכיוון שהיא אינה מקיימת דרישות מחייבות המהוות איום גדול יותר עבור הונאות NFT.

דאגות לגבי ישויות חיצוניות

אסימוני NFT תואמים ל-ERC-721, המשלבים מטא נתונים-URL. בדרך כלל, כתובת URL זו מציינת את המקום שבו הנתונים מאוחסנים. זה IPFS (אחסון מבוזר), תחום אינטרנט או Amazon S3 (אחסון מרכזי). 

לעתים קרובות, NFTs המצביעים על דומיינים חיצוניים חשופים לסיכון שהדומיין יפסול או לא יהיה זמין. במקרה זה, ה-NFTs נשברים, ומשאירים את כתובת האתר עם שדות ריקים.

סיכוני אבטחה בביצוע משתמש

יצירת NFT מזויפת: חוזים חכמים מאחסנים את הבעלות על האסימונים. לפיכך, כדי לוודא שהאסימונים לגיטימיים, מומלץ למשתמשים לבקר באתר האינטרנט של הפרויקט. 

המקרים של יצירות NFT מזויפות שתועדו היו,

• אלה שבהם השמות או האופי של ה-NFTs המקוריים השתנו. 
• NFTs המצביעים על הנכסים הקיימים על ידי שכפול פשוט של ה-image_url של הנכסים המאומתים.

אלו הם האיום החדש ביותר על רוכשי NFT. יש רישומים מוגברים של מכשירי NFT מזויפים שמסתובבים מכיוון ששוקי ה-NFT אינם מבצעים אימות קפדני כדי לבדוק אם האוסף או האסימון כבר קיימים. 

מיגון הצעות מחיר: משתמשים רשאים להציע הצעות מחיר על NFTs. במקרה של מיגון הצעות מחיר, משתמש X מגיש הצעות מחיר גבוהות כך שאף משתמש לא יוכל להגיש הצעות נוספות על אותו NFT. לאחר מכן, המשתמש X מבטל את הצעתו תוך שהוא נוטל את ה-NFT במחיר הנמוך ביותר.

מסחר בשטיפה: במסחר בשטיפה, היוצרים והמוכרים של ה-NFT מנפחים באופן מלאכותי את מחיר הנכסים כדי לבקש את תשומת הלב של הקונים. לדוגמה, פרויקטים בעלי ערך גבוה כמו CryptoKitties ו-Decentraland חשודים במסחר בשטיפה, הוספת תבלין לאבטחת מטבעות קריפטוגרפיים. 

שורה תחתונה

אל האני אירועים של פרצות אבטחה לעתים קרובות מוביל להפסדים כספיים עצומים. 

זיהוי האיום של NFT הוא הצעד הראשון לתיקון זה. חברות ביקורת עושות זאת על הצד הטוב ביותר. QuillAuditsבדרך זו, תורם תרומה פעילה לאבטחת NFT ואבטחת מטבעות קריפטוגרפיים, מה שהופך את המרחב המבוזר לאמין וידידותי יותר למשתמש. 

ההודעה המערכת האקולוגית של NFT וסיכוני אבטחה קשורים הופיע לראשונה ב Blog.quillhash.

• Coinsmart. בורסת הביטקוין והקריפטו הטובה באירופה.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה חופשית.
• CryptoHawk. רדאר אלטקוין. ניסיון חינם.
• מקור: https://blog.quillhash.com/2022/06/22/the-nft-ecosystem-and-related-security-risks/