descifrar.co
23 de julio de 2022 15:59 UTC
Tiempo de lectura: ~9 min
Los hacks de redes sociales están en aumento en el NFT comunidad, y últimamente es raro ver pasar un día o dos sin que algún proyecto importante o la cuenta del creador se vea comprometida.
Para los coleccionistas, las consecuencias pueden ser significativas: los usuarios que participan en las estafas compartidas por cuentas pirateadas han perdido colectivamente millones de dólares en coleccionables NFT y otros tokens, todo porque conectaron sus billeteras a lo que creían que era un reclamo legítimo de moneda o token NFT. .
¿Cuál es el recurso en estos casos y qué responsabilidad tienen los creadores de NFT con los cobradores cuando sus cuentas son pirateadas y utilizadas para perpetrar estafas? En algunos casos, los creadores de proyectos de NFT han compensado a los usuarios afectados, normalmente devolviendo el valor de mercado de los coleccionables en Etéreo.
Bored Ape Yacht Club Instagram pirateado, $ 2.8M en Ethereum NFT robados
Sin embargo, existe un sentimiento creciente entre los creadores en contra de reembolsar a los usuarios que pierden activos al participar en estafas en las redes sociales. Algunos ven ese tipo de esfuerzo compensatorio como una recompensa a las acciones imprudentes de los usuarios que no toman precauciones, lo que va en contra de los principios de autocustodia, responsabilidad y realización de una investigación adecuada de la criptoindustria.
A medida que proliferan los ataques a las redes sociales, así es como está evolucionando el debate sobre la compensación y lo que dicen los constructores notables en el espacio NFT al respecto.
Aumento de ataques
Solo en las últimas semanas, las cuentas de redes sociales de varios proyectos, creadores y coleccionistas notables de NFT han sido pirateadas y utilizadas para difundir enlaces fraudulentos. Cuando las personas interactúan con estos enlaces, conectan una billetera y aprueban la transacción solicitada, los abre para que les roben sus NFT y otros tokens.
Ejemplos recientes de tales ataques han incluido el Sustantivos del proyecto Ethereum NFTcuya cuenta de Twitter se vio comprometida el 27 de junio. En total, los NFT por valor de aproximadamente 42 ETH ($ 64,000 hoy) fueron robado a 25 usuarios que interactuó con el enlace compartido por los atacantes.
El coleccionista y comerciante seudónimo de NFT, Zeneca, tenía su cuenta de Twitter comprometido esta semana, también, aunque el alcance del daño a los usuarios no está claro. Artista DeeKayLa cuenta de Twitter de también fue pirateada recientemente, junto con las de los coleccionistas destacados. franklin y mono teclado.
Aquí hay una lista actualizada de cuentas de Twitter que se han visto comprometidas recientemente: Beeple, DeekayMotion, Zeneca, Nouns DAO, Keyboard Monkey, FranklinIsBored, British Army, Jenkins Valet, Duppies, DegenTown, pic.twitter.com/h7TjwVIZ4N
– ZachXBT (@zachxbt) 21 de julio de 2022
Artista Mike “Beeple” WinkelmanLa cuenta de fue pirateada a fines de mayo, con un valor estimado de $ 438,000 en tokens y NFT robados a los usuarios, según metamáscara analista de seguridad harry denley. Beeple hizo no se menciona la compensación prevista para los usuarios afectados.
La cuenta de Twitter de Jenkins el ayuda de cámaraun proyecto de Tally Labs basado en un Club de yates de monos aburridos NFT, fue pirateado y tomado el control en junio. Los creadores dijeron que los usuarios habían perdido Bored Apes, simios mutantesy otros NFT valiosos a través del exploit, y que compensaría a los usuarios basado en el precio mínimo (o NFT más barato disponible) para cada proyecto.
Uno de los ejemplos más notables hasta la fecha de un hackeo de redes sociales de un importante proyecto de NFT es el mismo Bored Ape Yacht Club, que tenía su cuenta de Instagram. comprometido con un enlace de menta falso en abril. Yuga Labs estimó el valor de los NFT robados en unos 2,8 millones de dólares y dijo que estaba trabajando para ponerse en contacto con los usuarios afectados.
descifrar preguntó a los representantes de Yuga el viernes si finalmente compensó a los usuarios, pero no respondieron. Solo esta semana, Yuga tuiteó que estaba al tanto de “un grupo de amenazas persistente que apunta a la comunidad NFT”, que creía que “pronto podría lanzar un ataque coordinado dirigido a múltiples comunidades a través de cuentas de redes sociales comprometidas”.
Ha habido otros ejemplos en los últimos meses, incluso cuando el servidor Discord de un proyecto se vio comprometido, con atacantes que usaron acceso para compartir enlaces a mentas NFT fraudulentas o caídas de tokens. El Club de Yates Bored Ape propio Discord fue hackeado en juniopor ejemplo, con alrededor de 200 ETH ($ 359,000 en ese momento) en NFT robados a los usuarios.
Premint devolverá USD 500 000 en Ethereum a las víctimas del hackeo de NFT
Solana Mercado de juegos NFT fractales se enfrentó a un ataque de este tipo en diciembre pasado y dijo que compensaría a los usuarios por una suma de $ 150,000 en SOL, mientras que el juego Discord for NFT Phantom Galaxies fue pirateado en noviembre. El editor Animoca Brands dijo que reembolsar a los usuarios por valor de $ 1.1 millones en ETH en ese ejemplo.
El fin de semana pasado, Premint, una plataforma de registro para gotas NFT, tuvo su sitio web pirateado con código JavaScript malicioso. Usuarios perdió cientos de NFT comprometiéndose con el enlace de la estafa, y Premint decidió reembolsarlos con más de $ 500,000 en ETH basado en el precio mínimo de esos NFT, además recompró y devolvió dos de los NFT robados más valiosos.
‘No es una garantía’
Curiosamente, en algunas de las situaciones anteriores, incluso los creadores que compensaron a los usuarios expresaron dudas sobre hacerlo, al menos a largo plazo, o dijeron que no volverían a hacerlo.
En una cuenta post mortem, el cocreador de Sustantivos seudónimos 4156 notó deficiencias en su configuración de seguridad, como la falta de autorización de dos factores o un plan para hacer frente a los ataques. Describió la compensación como “un acto único de buena voluntad” y “no una garantía” de que la tesorería de Nouns reembolsará a los usuarios en situaciones similares.
1/ Después de haber pasado por esto con el truco de Twitter de @nounsdao, no me queda claro si normalizar el reembolso es el camino a seguir pic.twitter.com/dcgr2gHAmb
— 4156 ⌐◨-◨ (@punk4156) 15 de julio de 2022
“Aunque apesta decir que no se debe reembolsar a las personas por haber sido engañadas a través de su cuenta, estos usuarios están participando en actividades de diligencia debida cero en un intento de ganar dinero rápido y, en última instancia, son los que firman mensajes que autorizan [withdrawals] de sus billeteras”, escribió 4156 en un hilo de seguimiento la semana pasada.
Agregó que la mayoría de los usuarios que buscaban compensación eran “usuarios de criptografía extremadamente poco sofisticados” y que muchos no podían probar que se habían visto afectados. Salió de la experiencia “con la sensación de que el reembolso era una curita de relaciones públicas a corto plazo” para los hackers, y que “normalizar el reembolso elimina el incentivo para la responsabilidad personal”.
En el caso de Premint, el fundador Brenden Mulligan dijo específicamente que el proyecto reembolsaría a los usuarios porque el ataque ocurrió en su sitio web, en lugar de en un canal de redes sociales. De igual manera señaló OpenSea compensando a los usuarios en enero por un problema de interfaz de usuario en su mercado, lo que provocó que los propietarios vendieran inadvertidamente NFT por debajo del valor de mercado.
El cofundador de Bored Apes critica a Discord después de que se arrebataran NFT por valor de 200 Ethereum en explotación
“Para nosotros, alguien manipuló un archivo en Premint y pudo iniciar una interfaz de usuario en nuestra página web. Seremos dueños de eso. No deberíamos haber dejado que eso sucediera, así que estamos tratando de compensar”, dijo Mulligan. descifrar. “Todavía se puede argumentar que las personas deberían haber sido más cuidadosas, pero en estos casos, creo que la compensación es una opción a considerar”.
Sin embargo, Mulligan no está de acuerdo con la idea de compensar a los usuarios que pierden NFT a través de enlaces en los que se hace clic en plataformas de redes sociales. Él cree que los ataques a través de las cuentas de Twitter de Zeneca y DeeKay no fueron sus respectivas fallas, y tuiteó que “pagar a las víctimas no debería hacerse en la mayoría de los casos. Tiene que ser responsabilidad del individuo”.
“Gente necesitar tener cuidado con su propia seguridad”, dijo Mulligan descifrar. “El noventa y nueve por ciento de las estafas se deben a que las personas no prestan atención y tratan de imitar algo sin pensar”.
7/
Esto también alienta a los piratas informáticos a seguir haciendo lo suyo, ya que yo soy el que cubre el lío. Una parte de mí dice que el reembolso no debería ser una forma estándar de reaccionar, y otra parte de mí dice que aún debería encontrar una manera de compensar y encontrar un equilibrio. No hay una respuesta correcta.– DeeKay (@deekaymotion) 15 de julio de 2022
Artista de NFT DeeKay tuiteó la semana pasada que había “iniciado un proceso para tratar de compensar” a los usuarios afectados por el enlace de estafa compartido desde su cuenta pirateada, pero expresó igualmente su incomodidad con la idea.
“Si soy honesto, no estoy seguro si el reembolso es el camino a seguir ya que [a] pocos fingen estar afectados y buscan oportunidades”, escribió. “Esto también alienta a los piratas informáticos a seguir haciendo lo suyo, ya que soy yo quien cubre el desastre”.
“Una parte de mí dice que el reembolso no debería ser una forma estándar de reaccionar, y otra parte de mí dice que aún debería encontrar una manera de compensar y encontrar un equilibrio”, agregó DeeKay. “No hay una respuesta correcta”.
‘La expectativa debe ser cero’
Zeneca tomó una postura más firme en su propia respuesta a su cuenta de Twitter comprometida. En un hilo post mortem compartido en tuits y recopilado en una publicación de blog titulado “Precedentes en evolución”, Zeneca dijo que tenía habilitada la autorización de dos factores en Twitter y que todavía estaba averiguando cómo ocurrió el ataque, pero que no planeaba reembolsar a los usuarios afectados.
“En algún punto del camino, los proyectos decidieron que su respuesta sería asumir toda la responsabilidad y reembolsar por completo a las víctimas por sus pérdidas”, escribió. “Entiendo y empatizo con esta respuesta”.
Pero luego escribió que era “insostenible” que los proyectos siguieran haciéndolo, y que era “poco práctico” clasificar a las presuntas víctimas. “El dinero y la responsabilidad recae en cada participante individual en este espacio”, agregó, y señaló que muchas personas están acostumbradas a las “redes de seguridad” en la sociedad, como buscar ayuda de bancos centralizados y servicios financieros en medio de estafas.
Gran hilo de @Zeneca_33 aquí. Creo que su decisión de no compensar es la correcta.
PREMINT compensado porque sucedió EN nuestro sitio web. Seremos dueños de eso.
Pero 💯 estoy de acuerdo en que no se debe pagar a las víctimas en la mayoría de los casos. Tiene que ser responsabilidad del individuo. https://t.co/V1gQnrwsoX
— BrendΞn Mulligan | PREMINT (@mulligan) 21 de julio de 2022
“Es con todo esto en mente que estoy tomando una decisión difícil, pero creo que justa y firme: no compensar significativamente a aquellos que perdieron activos debido a los eventos que ocurrieron en el ataque de ayer”, escribió. “Realmente, de verdad, lo siento mucho por todos los afectados. Me duele profundamente y me entristece hablar y escuchar las historias de los afectados”.
Zeneca proporcionará un pase de acceso NFT gratuito a su servidor privado ZenAcademy Discord a los usuarios afectados, que actualmente está vale alrededor de 0.38 ETH ($ 580) en la actualidad, según OpenSea. También mantendrá una lista de las víctimas para posibles beneficios o asistencia futuros, pero señaló que “la expectativa debe ser cero” de que reciban algo más.
Reacciones a hilo de zeneca de otros creadores y coleccionistas de NFT han sido en gran parte, pero no completamente, positivos, con fanáticos de las criptomonedas que celebran el espíritu de la responsabilidad personal. Trata la autocustodia y DYOR (“haga su propia investigación”) como los estándares en un espacio que se está inundando de nuevos usuarios que pueden no entender completamente la tecnología o detectar señales de alerta.
Los estafadores de Twitter están secuestrando cuentas verificadas para un lanzamiento aéreo falso de Azuki NFT
Todavía es relativamente pronto para los mercados NFT a gran escala. La educación puede ayudar a aliviar el impacto de las estafas y preparar mejor a los comerciantes de NFT para mantenerse alerta, pero también lo pueden hacer las mejoras en la tecnología y las interfaces de usuario. Tanto Mulligan como Zeneca señalaron la necesidad de mejorar la infraestructura y las mitigaciones para limitar el impacto de los ataques.
“La interfaz de usuario de las billeteras más populares debe mejorarse drásticamente para que sea casi imposible que alguien se conecte a un drenador de billeteras”, dijo Mulligan. descifrar. “Este es un problema solucionable, pero es una locura que sea tan fácil vaciar una billetera y no haya más advertencias para proteger a las personas”.
La educación, los ajustes tecnológicos y las actualizaciones de seguridad podrían ayudar a cerrar esa brecha, pero mientras tanto, FOMO (“miedo a perderse algo”) y el frenesí especulativo están convirtiendo a algunos coleccionistas de NFT en víctimas. Y los creadores parecen cada vez menos dispuestos a pagar la factura.