Мошенничество с NFT: как защититься

Аналитическая компания Chainalysis озвучила общую сумму украденных мошенниками в 2021 г. криптоактивов — 14 миллиардов $. Какая доля от этой суммы приходится на мошенничество с NFT в общей структуре украденных цифровых активов — не разглашается, но сомневаться в ее значительности не приходится. В сегодняшней статье разбираемся как мы можем себя обезопасить.

В 2021 году растущий рынок NFT, пополнили новички, обладающие минимальными познаниями о методах защиты от злоумышленников. На них в первую очередь нацелены отработанные фишинговые схемы.

Если прежде мошенников интересовали доллары или евро, то сейчас им интереснее биткоины, эфир и NFT, хранящиеся в цифровых кошельках. Это не удивительно, ведь только за 2021 год (в сравнении с 2020 годом), по данным Chainalysis, мировой объем транзакций с цифровыми активами вырос на 567 % (на 15,8 триллионов $).

Многие новички перед тем, как окунуться в криптоторговлю, не уделяют вопросам безопасности должного внимания. Бытует мнение, что о защите от мошенничества должна беспокоиться торговая площадка.

Отчасти это верно. Крупные биржи (Binance, Coinbase Exchange, FTX), обменники (Prostocash, Xchange.cash) и другие блокчейн-сервисы ежегодно вкладывают огромные средства в совершенствование своих услуг. Но они не могут предусмотреть всё.

Эффективные механизмы повышения безопасности хранения цифровых активов и торговли — известны. Пользоваться ими следует каждому, кто не желает за свой счет пополнить печальную статистику киберпреступлений.

Большинство краж происходит по одним и тем же причинам:

• скачали программу с первого попавшегося сайта;
• хранили логины и пароли на рабочем столе ПК или в заметках смартфона;
• не настроили сортировку спама в почтовом ящике;
• сообщили данные кошелька в ответ на запрос мошенника и т.д.

Типичный пример: Ransomware, вирус-вымогатель, программа-шантажист — названий много, но суть — одна. Открывая письмо от неизвестного прежде адресата (иногда при посещении подозрительного сайта), пользователь рискует «распахнуть дверь» в свой смартфон или ПК опасному софту.

Вариаций дальнейшего развития событий придумано много, но все они ведут к общей цели: обокрасть «счастливчика».

Универсального рецепта защиты от таких мошенников нет, кроме неусыпной бдительности. Рассмотрим, как работает самая простейшая фишинговая схема.

Без криптокошелька трейдеру не обойтись, это становится понятно при первом же знакомстве из сутью блокчейна. Наиболее опытные инвесторы, оперирующие крупными цифровыми активами, пользуются аппаратными или "холодными" кошельками.

Степень их защиты от взлома — максимальная, но и цена обычно высока. Например, за Leger Nano X придется заплатить 172 $. Высокая цена — главная причина, по которой новички (да и многие опытные трейдеры) пользуются горячими кошельками.

Как заводят новый кошелек? Конечно, скачивают из сети. Здесь очень важно, откуда брать ссылку для перехода. Большинство поступает просто: вводит в поисковую строку браузера запрос «MetaMask». А затем переходит на сайт по верхней ссылке.

Но что, если первой выпадет не безопасная правильная ссылка, а фишинговая с отличием в адресной строке в 1-2 символа? Правильно, пользователь «заведет» кошелек не для себя, а для мошенника.

В процессе регистрации на поддельном сайте будет предложена некая стандартная seed-фраза. В дальнейшем она позволит злоумышленнику изъять с вашего счета все цифровые активы, как только он пожелает.

Самому же пользователю seed-фраза нужна только для создания резервной холодной копии криптокошелька, а также для восстановления доступа.

Метод защиты один: переходить только с официального сайта блокчейн-проекта, предварительно тщательно наведя о нем справки.

Социальные сети давно служат мощным инструментом рекламы любых проектов. NFT — не исключение. Вот почему в любом крупном сообществе (Twitter, Instagram, Telegram) активным продвижением токенов занимаются специально нанятые знаменитости и инфлюенсеры.

Не вникая глубоко в тему, распознать с первого взгляда настоящую знаменитость от подделки — трудно. Главное — помнить, от своего имени знаменитости и известные криптотрейдеры не будут по собственной инициативе обращаться к обычным пользователям паблика.

Первичной коммуникацией такие люди занимаются в каналах Discord, либо в специально созданных для этой цели ветках Twitter. Если же к вам в личку пишет подобная "звезда", то с вероятностью ~100% — это мошенник.

Для начала стоит пояснить: создать NFT из любого произведения искусства или, к примеру, документа не тождественно приобретению прав на данный продукт интеллектуальной собственности. Все просто: достаточно зайти на блокчейн-площадку OpenSea, чтобы создать NFT из любого изображения, аудиофайла и т.д.

Возникает вопрос: как отличить «подлинник» от фейка? В данный момент почти никак. Сама платформа OpenSea предупреждает пользователей: «проводите собственное расследование» перед покупкой токена.

Фактически так и есть, только сам покупатель должен наводить справки о продавце и убеждаться, что выставленный на продажу лот в самом деле является подлинником, а не копией.

Сами NFT-платформы пока никак не борются с копированием NFT. В связи с этой ситуацией уже родилась коммерческая идея проверки подлинности цифровых активов, ее взял на вооружение индийско-австрийский стартап bitsCrunch.

Среди доступных любому человеку способов проверки продавца NFT можно отметить следующие:

• проверить личность продавца и его репутацию в социальных сетях (честному человеку нечего скрывать);
• выяснить, кто является создателем заинтересовавшего вас NFT, и уточнить у него принадлежность профиля на аукционе;
• подать запрос в службу поддержки NFT-платформы;
• проверить верификацию выставленной на продажу коллекции токенов, а также ее продавца.

Хорошо описывает текущее положение дел на рынке NFT случай, произошедший с коллекцией из 9666 цифровых летучих мышей знаменитого музыканта. Случилась эта неприглядная история в январе 2022 года.

NFT-коллекцию под названием «CryptoBatz» выставили на продажу на платформе Discord. Ссылку на аукцион Оззи Осборн разместил на специально созданной для этого странице в Twitter. В какой-то момент организаторов посетила «удачная» идея сократить ссылку на торговую площадку.

Было: https://discord.gg/cryptobatznft

Стало: https://discord.gg/cryptobatz

Казалось бы, что тут такого? Да, все верно, прежний электронный адрес мгновенно был «подхвачен» мошенниками, создавшими по нему фишинговый аукцион. Сам же Оззи и его помощники старую ссылку из публикаций в Twitter и других пабликах забыли подтереть.

Спустя некоторое время афера вскрылась, но получить прибыль мошенники уже успели. Как стало известно, пострадали десятки поклонников Осборна. По признанию одного из них, на поддельные NFT фанат успел потратить более 150 000 $.

Пострадавших от действий злоумышленников волнует вопрос: есть ли шанс вернуть украденное? Ответ: почти всегда — нет.

Известно несколько случаев, когда мошенники сами возвращали украденное. Но это исключение, а всем остальным обворованным пользователям остается только сетовать на собственную недальновидность и пренебрежение правилами безопасности.

Да, обратиться в органы правосудия и сообщить о факте кражи можно. Однако, вероятность вернуть свои NFT очень мала.

Главные правила безопасности можно сформулировать так:

• никому и ни при каких обстоятельствах не сообщайте ключи от своих цифровых кошельков, а для хранения ценных NFT желательно пользуйтесь аппаратными холодными кошельками;
• не спешите прикасаться к присланным бесплатно письмам, файлам, токенам — слишком велик риск получить «довесок» в виде вируса-вымогателя (к примеру);
• соблюдайте стандартные правила защиты электронного ящика и банковских счетов, пользуясь двухфакторной аутентификацией;
• не переходите по ненадежным ссылкам, в том числе из электронных писем, лучше всего воспользуйтесь «официальный ссылкой» (official links) со страницы автора NFT на его странице на сервере Discord (не в открытом чате!)

Мошенничество с в криптомире — очень распространенное явление. Пока безопасность коллекций, их защита от злоумышленников полностью зависят от внимательности и дотошности к соблюдению правил со стороны самих пользователей.

В будущем ситуация, будем надеяться, изменится. Появятся новые механизмы защиты прав собственности. За новостями в этой сфере владельцам токенов стоит наблюдать с особым вниманием.

Если эта статья была для вас полезной, подписывайтесь на наш телеграм канал. Там мы каждый день выкладываем новые интересные новости из мира web3