💬 Должны ли жертвы взлома NFT получать компенсацию от создателей?

Должны ли жертвы взлома NFT получать компенсацию от создателей?

В сообществе NFT растет число взломов социальных сетей, и в последнее время редко бывает, чтобы день или два проходили без компрометации какого-либо важного проекта или аккаунта создателя.

Для коллекционеров последствия могут быть значительными: пользователи, вовлеченные в мошеннические действия со взломанными учетными записями, в совокупности потеряли миллионы долларов в виде предметов коллекционирования NFT и других токенов, и все потому, что они подключили свои кошельки к тому, что они считали законным монетным двором NFT. или заявка на токен.

Что можно предпринять в этих случаях и какую ответственность несут создатели NFT перед сборщиками, когда их учетные записи взламываются и используются для мошенничества? В некоторых случаях создатели проектов NFT выплачивали компенсацию пострадавшим пользователям, как правило, возвращая рыночную стоимость предметов коллекционирования в Ethereum.

Однако авторы все чаще выступают против возмещения пользователям, потерявшим активы в результате мошеннических действий в социальных сетях. Некоторые рассматривают такие усилия как вознаграждение за безрассудные действия пользователей, которые не принимают меры предосторожности, что противоречит принципам криптоиндустрии о самоконтроле, подотчетности и проведении адекватных исследований.

В связи с распространением хакерских атак в социальных сетях, вот как развиваются дебаты о компенсации и что говорят об этом известные разработчики в сфере NFT.

Увеличение атак

Только за последние несколько недель учетные записи нескольких известных проектов, создателей и коллекционеров NFT в социальных сетях были взломаны и использованы для распространения мошеннических ссылок. Когда люди взаимодействуют с этими ссылками, подключают кошелек и одобряют предложенную транзакцию, это открывает для них возможность кражи NFT и других токенов.

Недавние примеры таких атак включают проект Ethereum NFT Nouns, учетная запись которого в Твиттере была скомпрометирована 27 июня. В общей сложности у 25 пользователей, перешедших по ссылке, которой злоумышленники.

На этой неделе был скомпрометирован аккаунт в Твиттере коллекционера и трейдера NFT под псевдонимом Зенеки, хотя степень ущерба для пользователей неясна. Аккаунт художника DeeKay в Твиттере также был недавно взломан вместе с аккаунтами известных коллекционеров Франклина и Keyboard Monkey.

Вот текущий список учетных записей Twitter, которые недавно были скомпрометированы: Beeple, DeekayMotion, Zeneca, Nouns DAO, Keyboard Monkey, FranklinIsBored, British Army, Jenkins Valet, Duppies, DegenTown, pic.twitter.com/h7TjwVIZ4N. — ZachXBT (@zachxbt) 21 июля 2022 г.

— ZachXBT (@zachxbt), 21 июля 2022 г.

По словам аналитика безопасности MetaMask Гарри Денли, в конце мая аккаунт художника Майка «Beeple» Винкельманна был взломан, и у пользователей были украдены токены и NFT на сумму около 438 000 долларов США. Beeple не упомянул запланированную компенсацию пострадавшим пользователям.

Твиттер-аккаунт Jenkins the Valet, проекта Tally Labs, основанного на NFT яхт-клуба Bored Ape, был взломан и захвачен в июне. Создатели заявили, что пользователи потеряли Bored Apes, Mutant Apes и другие ценные NFT из-за эксплойта, и что он будет компенсировать пользователям на основе минимальной цены (или самой низкой доступной NFT) для каждого проекта.

Одним из наиболее ярких примеров взлома социальных сетей крупного проекта NFT на сегодняшний день является сам яхт-клуб Bored Ape, учетная запись которого в Instagram была скомпрометирована с помощью поддельной ссылки монетного двора в апреле. Yuga Labs оценила стоимость украденных NFT примерно в 2,8 млн долларов и заявила, что работает над тем, чтобы связаться с пострадавшими пользователями.

В пятницу компания Decrypt спросила у представителей Yuga, выплачивает ли она в конечном итоге компенсацию пользователям, но они не ответили. Буквально на этой неделе Yuga написала в Твиттере, что ей известно о «постоянной группе угроз, нацеленной на сообщество NFT», которая, по ее мнению, «вскоре может начать скоординированную атаку на несколько сообществ через скомпрометированные учетные записи в социальных сетях».

В последние месяцы были и другие примеры, в том числе когда сервер Discord проекта был скомпрометирован, когда злоумышленники использовали доступ для обмена ссылками на мошеннические монетные дворы NFT или сбросы токенов. Например, в июне был взломан собственный Discord клуба Bored Ape Yacht, и у пользователей было украдено NFT на сумму около 200 ETH (359 000 долларов США).

Игровой рынок Solana NFT Fractal столкнулся с такой атакой в ​​декабре прошлого года и заявил, что выплатит пользователям компенсацию в размере 150 000 долларов США в SOL, в то время как Discord для игры NFT Phantom Galaxies была взломана в ноябре. Издатель Animoca Brands заявил, что в этом примере он возместит пользователям ETH на сумму 1,1 миллиона долларов США.

Буквально на прошлых выходных сайт Premint — платформы для регистрации NFT-дропов — был взломан с помощью вредоносного кода JavaScript. Пользователи потеряли сотни NFT, воспользовавшись мошеннической ссылкой, и Premint решила возместить им сумму ETH на сумму более 500 000 долларов США, исходя из минимальной цены этих NFT, а также выкупила и вернула два самых ценных украденных NFT.

«Не гарантия»

Интересно, что в некоторых из вышеперечисленных ситуаций даже авторы, которые платили пользователям вознаграждение, выражали сомнения по поводу этого, по крайней мере, в долгосрочной перспективе, или говорили, что не будут делать этого снова.

В постфактум-аккаунте соавтор Nouns под псевдонимом 4156 отметил недостатки в настройках безопасности, например отсутствие двухфакторной авторизации или плана борьбы с атаками. Он назвал компенсацию «одноразовым актом доброй воли» и «не гарантией» того, что казначейство Nouns возместит пользователям расходы в любых подобных ситуациях.

1/ Пройдя через это с помощью взлома твиттера @nounsdao, мне не ясно, что нормализация возмещения расходов — это путь вперед pic.twitter.com/dcgr2gHAmb — 4156 ⌐◨-◨ (@punk4156) 15 июля 2022 г.

— 4156 ⌐◨-◨ (@punk4156) 15 июля 2022 г.

"Хотя говорить о том, что люди не должны получать компенсацию за то, что они были обмануты с помощью вашего аккаунта, — это абсурд, эти пользователи не проявляют должной осмотрительности, пытаясь быстро заработать, и, в конечном счете, именно они подписывают сообщения, которые разрешить [снятие средств] со своих кошельков», — написал 4156 в последующей ветке на прошлой неделе.

Он добавил, что большинство пользователей, требующих компенсации, были «крайне неискушенными пользователями криптовалюты», и многие из них не смогли доказать, что они пострадали. Он вышел из этого опыта «с ощущением, что возмещение было краткосрочным пиар-пластырем» для хакеров и что «нормализация возмещения убирает стимул к личной ответственности».

В случае с Premint основатель Бренден Маллиган заявил, что проект возместит пользователям ущерб, поскольку атака произошла на его веб-сайте, а не на канале в социальных сетях. Он также указал на то, что в январе OpenSea компенсировала пользователям проблему с пользовательским интерфейсом на своей торговой площадке, в результате которой владельцы непреднамеренно продали NFT по цене ниже рыночной.

«Для нас кто-то манипулировал файлом в Premint и смог запустить пользовательский интерфейс на нашем веб-сайте. Мы будем владеть этим. Мы не должны были допустить этого, поэтому мы пытаемся компенсировать это», — сказал Маллиган Decrypt. "Есть аргумент, что люди должны были быть более осторожными, но в этих случаях я думаю, что компенсация является вариантом, который следует рассмотреть".

Однако Маллиган не согласен с идеей компенсации пользователям, которые теряют NFT из-за перехода по ссылкам в социальных сетях. Он считает, что атаки через учетные записи Zeneca и DeeKay в Twitter не были их соответствующими ошибками, и написал в Твиттере, что «в большинстве случаев не следует платить жертвам. Ответственность за это должна нести личность».

«Люди должны заботиться о собственной безопасности, — сказал Маллиган Decrypt. "Девяносто девять процентов мошенничества происходят из-за того, что люди не обращают внимания и пытаются что-то подделать, не задумываясь".

7/Это также побуждает хакеров продолжать делать свое дело, так как я прикрываю беспорядок. Часть меня говорит, что компенсация не должна быть стандартной реакцией, а другая часть меня говорит, что я все равно должен найти способ компенсировать и найти баланс. Нет правильного ответа. — DeeKay (@deekaymotion) 15 июля 2022 г.

— DeeKay (@deekaymotion), 15 июля 2022 г.

На прошлой неделе художник NFT ДиКей написал в Твиттере, что он «начал процесс, чтобы попытаться выплатить компенсацию» пользователям, пострадавшим от мошеннической ссылки, которой они поделились из его взломанной учетной записи, но также выразил недовольство этой идеей.

«Честно говоря, я не уверен, что возмещение является выходом из ситуации, поскольку некоторые притворяются, что пострадали, и ищут возможности», — написал он. «Это также побуждает хакеров продолжать делать свое дело, поскольку я прикрываю беспорядок».

"Часть меня говорит, что компенсация не должна быть стандартной реакцией, а другая часть меня говорит, что я все равно должен найти способ компенсировать ущерб и найти баланс", – добавила ДиКей. «Правильного ответа нет».

«Ожидание должно быть нулевым»

Зенека занял более жесткую позицию в ответ на скомпрометированный аккаунт в Твиттере. В постфактумной ветке, опубликованной в твитах и ​​собранной в блоге под названием «Развитие прецедентов», Зенека сказал, что у него была включена двухфакторная авторизация в Твиттере, и он все еще выясняет, как произошел взлом, но что он не планирует возмещать пострадавшим. пользователей.

«В какой-то момент проекты решили, что их реакция будет состоять в том, чтобы взять на себя полную ответственность и полностью возместить жертвам их убытки», — написал он. «Я понимаю и сочувствую этому ответу».

Но затем он написал, что это «неустойчиво» для проектов и что «нецелесообразно» разбираться с предполагаемыми жертвами. «Ответственность и ответственность лежит на каждом отдельном участнике этого пространства», — добавил он, отметив, что многие люди привыкли к «сетям безопасности» в обществе, таким как обращение за помощью к централизованным банкам и финансовым службам в условиях мошенничества.

Отличная ветка от @Zeneca_33 здесь. Я думаю, что его решение не компенсировать является правильным. PREMINT компенсировал, потому что это произошло НА нашем сайте. Мы будем владеть этим. Но ? согласитесь, что платить жертвам в большинстве случаев не стоит. Это должно быть ответственностью человека. https://t.co/V1gQnrwsoX — Брендэн Маллиган | PREMINT (@mulligan) 21 июля 2022 г.

ПРЕМИНТ компенсировал, потому что это произошло НА нашем веб-сайте. Мы будем владеть этим.

Но ? согласитесь, что платить жертвам в большинстве случаев не стоит. Это должно быть ответственностью человека. https://t.co/V1gQnrwsoX

— Брендэн Маллиган | PREMINT (@mulligan) 21 июля 2022 г.

«Именно с учетом всего этого я делаю жесткий, но, как мне кажется, справедливый и твердый выбор — не выплачивать существенную компенсацию тем, кто потерял активы из-за событий, произошедших в результате вчерашней атаки», — написал он. . «Мне искренне, искренне, очень жаль всех пострадавших. Мне очень больно и грустно, когда я разговариваю и слышу истории пострадавших».

Зенека предоставит затронутым пользователям бесплатный пропуск NFT для доступа к своему частному серверу ZenAcademy Discord, который в настоящее время стоит около 0,38 ETH (580 долларов США) за OpenSea. Он также будет вести список жертв для потенциальных будущих пособий или помощи, но отметил, что «не следует ожидать, что они получат что-либо еще».

Реакция на ветку Zeneca со стороны других создателей и коллекционеров NFT была в значительной степени, но не полностью, положительной, а приверженцы криптовалют прославляли дух личной ответственности. Самостоятельное хранение и DYOR («проведите собственное исследование») рассматриваются как стандарты в пространстве, наводненном новыми пользователями, которые могут не до конца понимать технологию или замечать тревожные флажки.

Для крупных рынков NFT еще относительно рано. Обучение может помочь снизить воздействие мошенничества и лучше подготовить трейдеров NFT к сохранению бдительности, но то же самое можно сказать и об усовершенствовании технологий и пользовательских интерфейсов. И Маллиган, и Зенека указали на необходимость улучшения инфраструктуры и мер по снижению воздействия атак.

«Пользовательский интерфейс для самых популярных кошельков необходимо радикально улучшить, чтобы сделать подключение к кошельку практически невозможным», — сказал Маллиган Decrypt. "Это решаемая проблема, но это бред, что так легко опустошить кошелек, а предупреждений для защиты людей больше нет".

Образование, технические доработки и обновления безопасности могли бы помочь закрыть этот пробел, но пока что FOMO («страх упустить возможность») и спекулятивное безумие превращают некоторых сборщиков NFT в жертв. А авторы все больше не хотят платить по счетам.