NFT:新骗局的狩猎场
骗局的自动化需要更好的防御,从数字身份开始。
前几天我在OpenSea上购买了一个NFT,是才华横溢的艺术家海伦·福尔摩斯 (Helen Holmes) 的漫画,来自她的 "原作 "收藏,现在正自豪地展示在我的crypto.com钱包里,供所有人观看。如果你感兴趣,可以来看看我买的这个NFT。
我委托海伦画我用来为我的文章作插图的漫画,这些漫画是她创作的原作,根据我们自己的协议,我有权利使用它们。而且我很高兴地说,如果有人买了她的NFT,这些钱就理所应当地归她。事实证明,这使 "我的 "NFT成为少数合法的例子之一,因为上个月OpenSea说,超过80%的在平台上免费创建的NFT是 "剽窃的作品、假的收藏和垃圾邮件"。
我说“我的”NFT,尽管拥有NFT并不意味着我对基础知识产权有任何权利,这些知识产权仍然属于海伦,也不意味着我对图片本身有独特的访问权,任何人只要右键点击上面的图片就可以下载。
即使不是山寨的NFT也往往是躲闪隐藏的。我把巴黎巴塔克兰大屠杀的一名幸存者的X光片的NFT也归入这一类,该X光片是由治疗她的外科医生提供出售的,而这其中包含的问题并不是和我们有关的。这不是与OpenSea有关的事情,而是与整个市场有关的事情。
事实上,“市场”可能是一个错误的词,因为最近的一项研究发现,仅前10%的交易者就进行了所有交易的85%,并至少交易一次97%的资产。看一下这些数字,前10%的“买方-卖方”的活跃程度与其他人的总和一样。这是一个几乎完全被鲸鱼占领的游乐场。
当以300万美元出售杰克·多尔西(推特前CEO)有史以来第一条推文的NFT的平台停止了大多数交易,因为假冒的创作者正在出售不属于他们的内容的代币,我们发现数字资产的交易存在一个根本问题。
创新
看起来NFT正在为欺诈行为的创新和创造性作品的创新提供一个平台。最常见的一种是所谓的“虚假交易”,即一群欺诈者在他们之间以越来越高的价格交易NFT,直到不明真相的散户人认为这个价格是真实的,介入购买该“艺术品”。在这一点上,这群人将收益分给他们自己,在市场上重复进行这个操作。
这种欺诈行为非常猖獗,卖家都是买卖双方洗钱。这不仅仅是一些加密货币通过虚假夸大NFT的价值从公众那里掠夺。美国财政部已经对该活动可能被用于洗钱表示担忧。
OpenSea最近在数量上被LooksRare赶超。LooksRare对用户的交易量进行财政奖励,可以预见,这意味着会出现一些流氓游戏系统。据加密货币分析公司CryptoSlam估计,自启动以来,大约87%的总交易量实际上是虚假交易。
(根据Chainalysis对这个问题的详细研究,NFT的虚假交易有一个有趣的不对称性。大多数交易者都是无利可图的,但成功的交易者却获利颇丰,以至于作为一个整体,这个群体获得了巨大的利润)。
将NFT看作是一个欺诈创新的平台,我不得不承认,我有时会佩服一些在这个新世界里得到工作的加密货币黑客/剥削者的聪明才智。以OpenSea的“挂单漏洞”为例,
OpenSea和另一个NFT交易平台Rarible之间存在一个问题,「如果你没有在OpenSea上正确地删除NFT挂单,这个问题就会被利用。」
如果卖家挂售一件NFT商品,后来决定删除挂单,那么正确的方式是支付一笔Gas费用来取消它,如果用户为了节省Gas费,只是简单地将NFT转移到一个不同的以太坊地址,尽管OpenSea的前端挂单不显示了,但当该NFT被发送回原始地址后,它仍然可以在Rarible上被购买。该漏洞被利用是因为一些NFT所有者没有意识到他们的旧销售列表仍然有效。当某个NFT的价格被炒高之后,这些旧的挂单列表的价格没变,被黑客发现并购买。这导致了多个昂贵的NFT以最低的价格流失。
举个具体的例子,一个攻击者为7个NFT共支付了13.3万美元,然后迅速以93.4万美元的ETH将其出售。五个小时后,这些不义之财通过Tornado Cash发走,Tornado Cash是一种完全去中心化的非托管协议,允许用户在加密货币世界进行隐私交易,是一种 "混合 "服务,用于防止区块链上的资金追踪。
正如区块链分析公司Elliptic的汤姆·罗宾逊所解释的那样,这种巧妙的欺诈导致了更多的欺诈,因为OpenSea向仍有旧的NFT列表的用户发送了一封电子邮件,因此很容易受到这种欺诈。然而,取消旧的列表需要ETH交易,所以最初的欺诈背后的进取的自由替代金融爱好者然后创建了机器人来寻找这些特殊的交易,并在列表被取消之前提前购买NFT。
换句话说,通过试图提供帮助并告诉用户取消易受攻击的列表,市场恰恰提供了犯罪者自动攻击所需的信息。
2021年12月30日在伦敦拍摄的一张插图,展示镀金纪念品。
规模和范围
并非所有的欺诈行为都特别复杂。非常多的钱已经被非常基本的欺诈行为所损失,就比如项目方跑路,即创新的加密货币工程师宣布发布一个神话般的新数字资产,它将在未来做令人惊奇的事情,在接下来的时间里价值增加100倍等等神奇预期,公众热情回应,投入大量现金,这时发行者就会消失,顺便删除他们的网站、Telegram聊天记录和虚假的LinkedIn资料。公众一旦打开关着薛定谔的猫的盒子,就会发现里面空空如也。
不过,有一些欺诈行为更多利用了新基础设施的性质。“蜜罐技术”就是这样一个例子。在蜜罐中,控制新代币的智能合约的程序员插入后门代码,以确保只有他们自己的钱包才能真正出售。其他所有购买代币的人都发现他们的钱被卡在了蜜罐里,而创建智能合约的诈骗者却可以随时兑现。
提到蜜罐技术,我们就会进入新的领域。正如Elliptic公司11月的一份报告所显示的,许多最引人注目的欺诈行为充斥着去中心化的金融或DeFi,项目因DeFi盗窃和欺诈而损失超过100亿美元。在我看来,这仅仅是个开始,因为在DeFi领域自动欺诈的能力是一个迷人又可怕的发展。
(当然,自动欺诈并不限于Web3世界。PayPal最近关闭了450万个账户,并正在利用其激励机制后降低了对新客户的预测。他们提供了10美元作为开立新账户的奖励,这时,机器人开始在PayPal的田地里耕作,而不是员工。正如我一直坚持的那样,有一天,IS-A-PERSON证书将成为所有证书中最有价值的证书)。
谈到web3,充满编程错误的智能合约、加密货币和匿名性的交集,对欺诈者、恐怖分子和恶作剧者来说是一个全新的竞争环境。自动化和复杂性的结合出现的问题需要解决。
但前进的道路是通过一个有效的、21世纪数字身份基础设施。也许DeFi(借鉴可验证的证书和零知识证明),而不是CeFi(借鉴联合身份和共享属性),可能会启动一个身份基础设施,反过来将成为其持久的遗产。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場