Скам на NFT-рынке
25 августа аналитическое бюро Elliptic опубликовало большой отчет про развивающиеся тренды NFT и связанные с этим рынком финансовые махинации. MINE.exchange подготовил для вас новый обзор по мотивам этого отчета.
NFT в искусстве и не только
В классическом искусстве основной проблемой были доказательства его подлинности, но теперь с появлением уникальных протоколов безопасности, можно наверняка знать кто является настоящим автором. Рынок цифрового искусства с каждым годом приобретает невероятную популярность. По мнению экспертов этому, как ни странно поспособствовала пандемия. Во время COVID-19 NFT-творчество стало настоящим бумом. На сегодняшний день самой дорогой проданной NFT-картиной в единичном экземпляре считается полотно “Everydays: The First 5000 Days” художника Майка Винкельмана. Картину продали за $69,3 млн. В декабре 2021 года цифровой художник Пак продал 312 686 экземпляров своей коллекции “The Merge” за 91,8 миллиона долларов. С начала 2022 года по всему миру новым веянием стали благотворительные аукционы, в которых собранные средства от продажи цифровых предметов искусства идут на благотворительные и гуманитарные проекты. Уникальные токены также нашли свое применение в виде входного бонуса или цифрового билета дающего сервисные преимущества его владельцам. Это могут быть пропуски в VIP-зоны, дисконты на элитную продукцию, членство в закрытых клубах и так далее. И конечно же одной из самых широких ниш, где применяется NFT - это гейминг. Капитализация игрового рынка на конец 2021 года насчитывалась почти в $200 млрд. Ожидается, что к концу этого года рынок покажет прирост до 340 млрд. Многие гейминговые компании поддавшись тренду внедряют NFT в свои блокчейн-игры. Самые популярные из них: Axie Infinity и Aave Gotchi.
Фишинг, шантаж и липовые инвайты
Сколь велика популярность NFT, столь стремительно развиваются вокруг этого рынка различные махинации. По данным Elliptic с июля 2021 года по июль 2022 года было украдено 4650 NFT на сумму более $50 млн. Самым ценным из когда-либо украденных NFT является “CryptoPunk #4324”, который мошенники перепродали сразу после кражи за 490 000 долларов. Чаще всего злоумышленники действуют через фишинг: поддельные сайты с линками в почтовых рассылках, на форумах и соцсетях. Участились случаи фишингового воровства и через аирдропы. Мошенники маскируются под акции с аирдропами от известных криптобрендов или создают собственные. Потенциальные жертвы переходя по ссылкам и запрашивая бонусные токены открывают для мошенников свои данные. Иногда преступники чеканят свои бесполезные NFT и сбрасывают их в кошельки потенциальным жертвам. Коллекция будет присылать уведомления, что её можно обменять на фиатную или криптовалюту и предлагается ссылка на фишинговый сайт. Не брезгуют мошенники и другим видом скама, выдавая себя за менеджеров техподдержки NFT-маркетплейсов. Они действуют по четкому скрипту с единственной целью - завладеть личными данными жертвы. Мошенники могут попытаться “добить” жертву и сделать повторную кражу. Сразу же после первого воровства, с растерянной жертвой контактирует “менеджер” либо на почту приходит письмо со ссылкой на другой фишинговый сайт либо открывается чат-бот. Мошенники пытаются “сверить данные” и подтолкивают жертву оплатить “услуги по восстановлению”. Если похищенный предмет цифрового искусства имеет большое личное значение для его владельца и злоумышленники об этом осведомлены, то они могут пойти на шантаж и пообещать вернуть (на самом деле нет) украденный NFT за вознаграждение. Еще одна мошенническая схема - продажа несуществующих инвайтов или приглашений на закрытые NFT-аукционы. Мошенники могу предлагать пользователям от лица сотрудника криптоплатформы или в качестве посредника купить у него доступ к торгам, где будут представлены эксклюзивные NFT. Стоимость таких инвайтов по тарифам мошенников колеблется в пределах $300-500. После получения оплаты, преступник блокирует все контакты.
Rug Pulls
Rug Pulls - это что называется “игра по-крупному”, где целевая аудитория мошенников не отдельные держатели конкретных цифровых активов, а люди с деньгами или венчурные инвесторы, ради которых создаются целые скам-стартапы. Мошенники создают видимость полноценного проекта, включающего в себя веб-сайт, презентации, дорожные карты, ведут активные промо-кампании и все это, чтобы привлечь инвесторов и в один прекрасный момент бесследно раствориться с их деньгами. Rug Pulls испортили репутацию большому количеству по-настоящему стоящих проектов, ведь обжегшись один или несколько раз потенциальный инвестор стал более скептичен и осторожен к новым проектам. Тем не менее инвесторский азарт, тем более у новичков неугасим, на этом и играют мошенники у которых в арсенале припасено множество обманных стратегий. Существуют так называемые “серийные” мошенники. Вы можете слышать о них в СМИ, как “историях успеха”, но на самом деле им место в криминальной хронике. Начав один сомнительный проект, они закрывают его по размытым, но очень “логичным” причинам: форс-мажор на рынке, просчеты в Дорожной Карте, невозможность технической реализации и т.д. Спустя какое-то время их имена уже мелькают в других проектах. Некоторые становятся мошенниками “поневоле”, когда на каком-то этапе действительно что-то идет не так и они принимают отчаянное и совершенно неверное решение обмануть инвесторов, закрыть проект и вывести средства. Еще одна популярная схема “ковровых” мошенников, является постепенное выведение средств из проекта. Умышленно затягиваются сроки, усложняются технологические решения и как следствие раздуваются бюджеты, что позволяет злоумышленникам еще долгое время паразитировать на инвесторском доверии до определенного момента. Чтобы внушить потенциальным инвесторам доверие, мошенники создают вокруг своего блокчейн-стартапа бурную публичную активность: красивый и современный дизайн презентационных материалов, запускают масштабные и креативные промо-кампании с участием знаменитостей. Последнее стало особенно популярным в NFT-проектах, когда известные, но не сильно разбирающиеся в теме певцы, актеры и спортсмены рекламируют скам-проекты в комментариях или интервью и даже становятся лицом бренда, что впоследствии негативно сказывается на их репутации. Так например, собственная медиакомпания Hello Sunshine актрисы Риз Уизерспун поддержала проект World of Women NFT. Впоследствии цена их совместного токена обвалилась на 75%. Боксер Майк Тайсон, который активно рекламирует цифровые продукты различных стартапов, выпустил собственную коллекцию NFT. К сожалению она оказалась не столь популярной, как ожидалось. Со времени ее выхода и до последнего дня продажи средняя цена токенов упала на 95%.
Скам через эксплойты
Более изощренные и технически продвинутые мошенники используют эксплойты или уязвимости в системах DeFi или в самих кодах NFT с помощью которых можно совершить скам. В отчете Elliptic приводится неутешительная статистика. В 2021 году один эксплойт с кражей в среднем в $16 млн происходил каждые три дня. Т.е. за 2021 год хакеры похитили через этот способ $1,9 млрд. Самое громкое NFT-преступление, совершенное через эксплойт связан с игровым проектом Axie Infinity. Игра использует разновидность блокчейна Ronin, который дает доступ к Ethereum без стандартных комиссий за операции с NFT. Ronin и Ethereum работают параллельно и объединены “мостом” для перемещения токенов между собой. В нем и была найдена уязвимость, через которую хакеры вывели на момент взлома почти $600 млн. Эксплойты кода также могут быть связаны, как с самими NFT (дефектный код при чеканке), так и лежащими в их основе смарт-контрактами, которые управляют работой своего аффилированного протокола или платформы. К счастью массовых взломов по такой схеме не наблюдается. Играет на руку киберпреступникам и человеческий фактор. Платформы DeFi практически всегда децентрализованы, но при этом они могут предоставлять права и доступы разработчикам для изменения кодов смарт-контрактов на случай исправления багов быстро и эффективно не дожидаясь одобрения консенсусом пользователей. При помощи социальной инженерии мошенники напрямую “обрабатывают” разработчиков и обманным путем получают доступ к кодам по уже упомянутой фишинговой схеме. Еще одним уязвимостью, которой пользуются киберпреступники, являются особенности интерфейса разных NFT-платформ. По факту они могут взаимодействовать с блокчейнами через высокотехнологичные смарт-контракты, но для удобства и навигации пользователь работает с UX-дизайном интерфейсов. Мошенники могут воспользоваться временными задержками интерфейсных взаимодействий и внедрить свой вредоносный код.
Как отмываются деньги?
Вырученные за перепродажу украденных NFT, посредством шантажа или выведенные из инвесторских вложений капиталы необходимо каким-то образом легализовать. Для этого мошенники используют целую инфраструктуру с кошельками, маркетплейсами, криптомиксерами, биржами и обменниками. Если говорить о последних, то мошенники используют несколько перемычек в виде перевода средств на разные кошельки, в разных комбинированных вариантах криптовалюта-фиат. Фрод-отдел обменного сервиса MINE.exchange регулярно пресекает подобные попытки и тесно сотрудничает с правоохранительными органами в случае обнаружения подозрительных транзакций. Недавно рынок потряс скандал с платформой Tornado Cash. Его владельцев обвинили в оказании помощи NFT-мошенникам по отмыванию незаконных средств. Tornado Cash - это децентрализованный протокол, позволяющий проводить анонимные операции в сети Ethereum и в других блокчейнах. По разным данным мошенникам удалось провести через Tornado Cash, удалось провести $140 млн. Недавно по этому делу в Нидерландах был арестован Алексей Перцев, один из разработчиков криптомиксера. Всего исходя из расследования Elliptic, с 2017 года через криптомиксеры было отмыто $328,6 млн похищенных NFT.
Кибербезопасность и регуляция рынка
Самым слабым звеном в урегулировании NFT-рынка и внедрения необходимых норм по кибербезопасности, является отсутствие единого классификатора. Многие положения и трактовки имеют множество расхождений, а то и противоречий. Это прежде всего зависит от региона, где хранятся и торгуются цифровые активы. Второй проблемой являются ограниченные полномочия этих юрисдикций. Например, над NFT-проектом работала команда разработчиков из США. Хранение было на маркетплейсе, зарегистрированном, например в Сингапуре, транзакцию совершил покупатель из Индии. Злоумышленники, физически, находящиеся в Гренландии через эксплойт похитили оплату за токен и раскидали её по нескольким кошелькам, через разные криптомиксеры. Вопрос. В чьей юрисдикции находится уполномоченный орган для расследования этого киберпреступления? Только последние несколько лет бюрократические системы развитых стран пытаются синхронизироваться между собой для решения этой проблемы. Наибольшее сближение идет между регуляторами США и ЕС. На уровне отдельных стран, правительства принимают собственные законы и положения об отмывании финансов, включая туда положения про цифровые активы. В 2020 году Управление по контролю за иностранными активами Министерства финансов США (OFAC) выпустило соответствующее руководство под названием «Рекомендации по потенциальным санкционным рискам, возникающим в результате сделки с ценностями». Один из разделов посвящен рискам с NFT. Возвращаясь к вопросу о классификации, есть определенная путаница, можно ли рассматривать NFT, как инвестиционный актив? В таком случае к нему уже применимы положения о ценных бумагах. С другой стороны токены считаются предметами искусства и в дело включается право на интеллектуальную собственность. Из-за столь обширных юридических коллизий и отсутствия жесткого государственного контроля NFT-рынок все еще остается таким желанным и азартным, как для пользователей, так и для мошенников.
Материал подготовлен командой MINE.Exchange, лучшего обменного сервиса электронных валют. Все меняется к лучшему!