为了使加密货币实现大规模采用,可以轻松防止的违规行为——例如导致 OpenSea 损失 170 万美元的网络钓鱼攻击——需要结束。

2022 年 2 月,OpenSea成为一次重大网络钓鱼攻击的牺牲品,导致超过 170 万美元的不可替代代币 (NFT)从用户那里被盗。这不是唯一的事件:据报道,区块链用户仅在 2022 年就因欺诈活动损失了 39 亿美元。

图片[1] - OpenSea是为什么必须提高加密安全性的一个例子

当我们进入 2023 年时,出现了提高加密空间安全性的承诺。但是,到目前为止,情况并没有显着改变。利用区块链的公司在防止诈骗方面仍然做得不够。

如果区块链技术要得到大规模采用,公司将不得不自下而上地改变他们的方法。通过专注于教育和实施更好的流程来识别恶意活动,随着空间的不断扩大,这些平台可以更好地服务于他们的客户。

区块链平台需要学习如何识别恶意活动

在 OpenSea 黑客事件中,受害者被要求签署一份不完整的合同,这似乎是应平台的要求。虽然 OpenSea 的核心基础设施没有被黑客入侵,但假账户能够利用开源 Wyvern 协议。然后,黑客能够使用所有者的签名将其转移到一份虚假合同中,该合同赋予他们所有权,而无需为 NFT 支付费用。

据报道,在该平台上免费铸造的 NFT 中有 80% 被剽窃或垃圾邮件后,OpenSea 最近撤销了之前的一些**。OpenSea 还依赖于对使用其 API 的开发人员的信任,这并不是评估风险的万无一失的方法。这些开发人员可以将 API 用于恶意目的,以利用用户签署他们不阅读的合同。

智能合约是区块链引擎不可或缺的一部分,从 NFT 交易所到名副其实的去中心化应用程序,随处可见。了解这些合约的运作方式对于确保用户安全至关重要。公司可以实施标准协议,以确保智能合约具有弹性并免受恶意活动的侵害,而不是重新发明轮子。从那里,公司可以利用区块链的灵活性并定制他们的合同,比如设置多重签名钱包和定期单元测试。

谨防垃圾邮件空投

如果您在 OpenSea 的顶级收藏中寻找流行的 Mutant Hounds 系列,没有迹象表明哪个系列是合法的。缺乏验证可能导致假冒收**的形成,人为地提高价格以使其看起来合法并让用户感到困惑。假**通常通过空投分发,旨在通过 NFT 平台的搜索功能找到。

垃圾邮件收藏还可以向用户发送他们没有通过空投请求的 NFT。用户将不会通过他们持有收藏的平台(例如 OpenSea)进行重定向,而是通过发生诈骗的其他站点进行重定向。

这是一个常见的风险,可以通过监控此类活动的平台来解决,无论是通过跟踪欺诈账户的众包数据库,还是通过知道要寻找什么并不断了解更新的骗局的管理工具。此外,NFT 平台可以要求出价与上市使用相同的货币,以避免混淆。许多用户被骗了,因为他们接受了比他们列出要出售的 NFT 的货币价值更低的货币。区块链平台可以根据少数持有者之间的不正常活动来标记可疑活动,从而依靠数据来暴露异常值。

当然,必须指出的是,像 OpenSea 这样的公司面临着必须监管在其平台上铸造的欺诈账户的挑战。在许多情况下,归结为需要对官方收藏进行更多验证。

入职是业务计划的一个组成部分

入门应该是老手和新手用户区块链体验的核心部分。与智能合约一样,建立明确的用户指南并突出潜在风险应被视为确保用户安全的基本最佳实践之一。这些指南应定期审查,考虑到风险评估,并随着区块链的成熟而相应调整。

在有经验的用户中,首字母“DYOR”在区块链用户中很常见。作为“do your own research”的缩写,这句话已经成为那些与潜在投资机会互动的人的潜规则。然而,对于新来者来说,准确地知道从哪里开始可能具有挑战性。业内有影响力的人发出了一系列不一致的信息,他们经常推动下一件大事并推动风险投资,导致用户成为诈骗或资产损失的受害者。指南和教育材料应该随时可用,并针对每个平台的价值体系和独特的风险进行策划。

最佳实践应该是所有区块链平台的优先事项

随着区块链社区目前正在经历成长的阵痛,公司应该吸取从 OpenSea 等重大漏洞中吸取的惨痛教训,并改进他们的安全协议,以确保不再发生这种情况。学习基本技术的来龙去脉,从智能合约到如何保护自己的助记词,应该是起点。从那里,学习如何实施和维护最佳实践,例如识别恶意活动和那些造成严重破坏的活动。也许要防止最近发生的一些大规模黑客攻击,可能只是让某人注意到事情似乎不对劲。