Rynek NFT jest obecnie warty ponad 40 miliardów dolarów, co wpływa na jego szerokie dotarcie do biznesu. Angel Grant, wiceprezes ds. bezpieczeństwa w F5, wyjaśnia dlaczego firmy z branży Web3 muszą bronić swoich klientów przed złośliwymi botami również w przypadku biznesu związanego właśnie z niewymiennymi tokenami.
Hasło NFT od kilkunastu miesięcy podbija media społecznościowe i coraz częściej gości w szerokim przekazie medialnym. Tym samym więcej przedsiębiorców rozważa sprzedaż swoich produktów w oparciu o niewymienne tokeny. Unikatowość oraz niezamienność NFT (ang. Non-fungible Token) wynika z zapisu kryptograficznego wykorzystującego technologię Blockchain. Dzięki temu NFT może reprezentować przedmioty niematerialne i materialne potwierdzając ich autentyczność.
Chwytliwe nagłówki donoszące o milionowych przychodach ze sprzedaży NFT, kuszą przedsiębiorstwa wizją dodatkowych przychodów z tytułu emisji niewymiennych tokenów. Niestety, dają przy tym także nowe możliwości dla cyberprzestępców, którzy również w tym obszarze polują na luki w systemach bezpieczeństwa przedsiębiorstw. Jednym z głównych narzędzi w ich rękach stały się w ostatnich czasach boty, które coraz częściej są wykorzystywane do manipulowania cenami tokenów i oszukiwania klientów. W perspektywie czasu boty osłabiają cały ekosystem NFT, zniechęcając kolejnych inwestorów do wchodzenia na rynek i lokowania na nim kapitału.
Dlatego właśnie, odpowiedzialność za bezpieczeństwo leży po stronie emitentów, którzy tworząc rynek NFT muszą zrobić wszystko, co w ich mocy, aby zaoferować dynamiczną ochronę przed botami i innymi cyberatakami. W ten sposób uczestnicy rynku zabezpieczają swoje inwestycje NFT, a także dbają o reputację rynku i korzystne doświadczenie klientów.
Skąd takie zainteresowanie hakerów rynkiem NFT? Według Chainanalysis, wartość rynku NFT na koniec 2021 roku wyniosła aż 41 miliardów dolarów. Poza tym ekosystem niewymiennych tokenów, to wciąż stosunkowo młoda nisza, która nie zawsze jest w pełni zrozumiała dla osób obracających się dotychczas na tradycyjnych rynkach kapitałowych. Tym samym rosnąca wartość transakcji wraz ze wzrostem liczby uczestników rynku – czyni NFT idealnym obiektem ataków hackerskich. Przykładowo, w ostatnich latach branża e-commerce została mocno dotknięta atakami botów. Sprzedaż limitowanych edycji produktów, takich jak na przykład buty sportowe regularnie pada ofiarą ataków botów, które wykupują cały nakład, gromadząc w ten sposób zapasy, które później są odsprzedawane po zawyżonej cenie. Chociaż blockchain, kryptowaluty i zdecentralizowane nadal mogą być traktowane w charakterze innowacji, to są one już doskonale rozpoznane przez cyberprzestępców.
Boty, na które trzeba uważać
Złośliwe boty mogą manipulować cenami NFT i dostępnością produktów lub oferować sprzedaż fałszywych produktów. Pojedyncze boty mogą być również elementami większych schematów, działających na szerszą skalę. Takie akcje mogą prowadzić do awarii systemów cyfrowych, przeciążeń platform sprzedażowych, czy obejmować kradzież tożsamości i powodować wycieki wrażliwych danych. Oto kilka rodzajów złośliwych botów, przed którymi powinien chronić się przedsiębiorca:
- Boty zakupowe: Są one zaprojektowane tak, aby masowo kupować towary lub usługi online w momencie, gdy trafiają one do sprzedaży i błyskawicznie zakończyć proces sprzedaży. Celem jest zdobycie masowej kontroli nad cennym towarem, który zazwyczaj jest odsprzedawany na rynkach wtórnych po znacznej marży. Utrudniają one dokonywanie zakupów przez prawdziwych kupujących, co powoduje frustrację konsumentów i odmowę sprzedaży zapasów, ponieważ NFT po prostu już nie ma. Podobna sytuacja występuje przy sprzedaży biletów na duże wydarzenia.
- Boty licytujące: Boty te składają fałszywe oferty w celu manipulowania cenami NFT. Poprzez składanie dużej liczby ofert kupna tokenów znacznie poniżej ceny wywoławczej, boty obniżające cenę, obniżają też wartość NFT (bez dokonywania zakupu). Boty zwiększające cenę kupują tanie NFT, sztucznie tworząc niedobór i zwiększając ich popularność, aby zmusić kupujących do zapłacenia więcej za pozostałe zapasy, często na rynkach wtórnych. Natomiast boty licytujące mogą sztucznie podnosić ceny NFT poprzez zautomatyzowane wojny licytacyjne.
- Fałszywe boty NFT: Boty mogą być wykorzystywane do sprzedaży nieautentycznych projektów NFT, które nie odpowiadają identyfikatorom polityki. Gdy konsument przez pomyłkę kupi fałszywe NFT, ma niewielkie szanse na zwrot pieniędzy, a bez odpowiedniego uwierzytelnienia nie ma szans na legalną odsprzedaż.
- Fałszywe boty promocyjne: Boty mogą również działać niczym programy phishingowe, kusząc użytkowników do klikania na linki w celu skorzystania z bardzo ograniczonych ofert, takich jak fałszywy YouTube Genesis Mint Pass.
Rosnąca aktywność botów na rynkach NFT zwiększa wątpliwości wśród potencjalnych klientów rynku oraz wpływa na potencjalnych nabywców, legalnych sprzedawców, artystów, sportowców i twórców, których produkty są sprzedawane na rynkach online. Złośliwe boty mogą również potencjalnie zepchnąć na boczny tor rozwój rynków opartych na technologii Blockchain. W rezultacie giełdy NFT mogą zyskać reputację kuźni botów (ang. hotbed), co w dłuższej perspektywie czasowej może zagrozić odpływem uczestników rynku przekreślając dynamiczny rozwój nowej niszy.
Ochrona sprzedaży przed botami
Realizując szereg projektów dla giełd i podmiotów NFT, eksperci F5 rozpoznali wiele zagrożeń i wdrożyli odpowiednie zabezpieczenia, celem ochrony uczestników rynków NFT.
Nasze zaangażowanie obejmuje ochronę przed atakami botów, których celem jest logowanie, powstrzymywanie tworzenia fałszywych kont oraz zapobieganie botom gromadzącym zapasy, które je wykupują i podnoszą ceny NFT. Z naszego doświadczenia wynika, że jest kilka kluczowych aspektów handlu niewymiennymi tokenami, na które przedsiębiorcy powinni zwrócić uwagę:
- Identyfikacja i zrozumienie postępowania botów tworzących fałszywe nowe konta i niezatwierdzanie ich na platformach sprzedażowych.
- Regularne weryfikowanie strategii obrony przed botami, celem zapobieżenia zmieniającym się atakom, adaptującym się do nowych systemów obrony.
- Unikanie przejęcia konta poprzez monitorowanie transakcji pod kątem oznak oszustwa lub ryzykownego zachowania oraz wzmocnienie systemu logowania przed wyciekami danych uwierzytelniających.
- Wykorzystanie inteligentnego uwierzytelniania celem zapewnienia użytkownikom intuicyjnej obsługi.
- Zarządzanie użytkownikami, aby określić, czy są oni klientami czy botami.
- Wzmocnienie zespołów ds. cyberbezpieczeństwa i danie narzędzi do skutecznego przeciwdziałania atakom hackerskim.
- Działania reaktywne pozwalające na dostosowanie strategii obronnej do zmieniających się warunków.
Pomagajmy również klientom
Budowa zaufania i ochrona przed atakami zaczyna się od edukacji. Oto kilka naszych wskazówek, którymi warto podzielić się ze swoimi klientami:
- Rozważ portfele sprzętowe. Jeśli używasz kryptowalut do zakupu NFT, weź pod uwagę użycie portfela sprzętowego do dokonania transakcji. Są to zewnętrzne urządzenia, które wyglądają jak pendrive i dysponują specjalistycznym oprogramowaniem, chroniącym klucze prywatne przed kradzieżą. Ich stosowanie znacznie poprawia bezpieczeństwo zakupów kryptowalut i NFT, chroniąc je przed botami i innymi cyberatakami.
- Zawsze sprawdzaj umowy. Zakup NFT prawie zawsze wiąże się z zaangażowaniem w “inteligentny kontrakt” ze sprzedającym. Dokładnie przejrzyj wszystkie umowy, wystawiane na blockchainie przed ich zatwierdzeniem. To istotne, ponieważ zawierają one istotne informacje o Twoich tokenach, w tym własność i szczegóły transakcji. Pamiętaj, na co się zgadzasz, ponieważ „inteligentne umowy” mogą określać zasady dotyczące obrotu NFT i innych praw własności.
- Bądź świadomy fałszywych rynków. Kupuj NFT tylko od renomowanych organizacji, które poważnie podchodzą do kwestii bezpieczeństwa i zapewniają transakcje wolne od botów.
- Dowiedz się, jak komunikuje się Twój rynek NFT i jakie masz opcje, jeśli Twoje NFT zostaną skradzione. Wiedząc z góry, w jaki sposób Twój rynek będzie się z Tobą kontaktował i jakie masz możliwości w przypadku kradzieży NFT, możesz uniknąć ataków phishingowych, spoofingu i innych oszustw.