ウォレット セキュリティ チームは、コミュニティ メンバーが OpenSea マーケットプレイスのオフライン署名を使用して潜在的な非代替トークン (NFT) ハッキングを検出、追跡、監視できるリアルタイム ダッシュボードをリリースしました。
従った クリプト ウォレット ZenGo の背後にあるチームに、彼らは簡単な方法を使用して NFT ハック検出器を作成しました。 これには、NFT マーケットプレイスで実現された NFT 取引の追跡と、NFT コレクションの最低価格の取引額の比較が含まれます。 XNUMX つのトレード値の比率が疑わしいほど低い場合、潜在的なハッキングとしてフラグが立てられます。
執筆時点で、ダッシュボードは、オフライン署名を通じてハッキングされた約 25 万ドル相当の NFT にフラグを立てました。 ZenGo の最高技術責任者である Tal Be'ery 氏は、Cointelegraph に対し、この種のハッキングは他のハッキングとは XNUMX つの点で異なると語った。
まず、このタイプのハッキングには、ユーザーが署名しなければならないメッセージの意味を示す一般的な方法がありません。 これは、ユーザーがメッセージを「盲目的に信頼」し、「盲目的に署名」しなければならないことを意味します。さらに、Be'ery 氏は、この種のハッキングにはプラットフォームの契約が関与していると説明し、これらの場合、プラットフォームはいくつかの責任を共有すると主張しました。
関連する 業界の専門家によると、NFTの盗難を防ぐ方法は次のとおりです
コミュニティ内でこの問題の潜在的な解決策について尋ねられたとき、ウォレットの幹部は、現在良い解決策はないと主張しました. 彼は次のように説明しました。
「ユーザーは、一部のオフライン署名をある程度可視化する独自のブラウザー拡張機能を使用できますが、すべてのオフライン署名をカバーするわけではなく、新しい形式のオフライン署名が追加されるたびに更新する必要があります。」
ZenGo チームによると、彼らはイーサリアム財団、さまざまな分散型アプリケーション、および他のウォレットと協力して、実装された場合に問題を修正するイーサリアム改善提案 (EIP) のドラフトをサポートする作業も開始しました。 Be'ery 氏は次のように述べています。
「EIP により、コントラクトはオフライン署名の正確な意味を記述できるようになります。これにより、ウォレット アプリはそれをユーザーに表示し、ユーザーはオフライン署名に署名するかどうかについて十分な情報に基づいた決定を下すことができます。」やみくもに署名する必要はありません。
同様に、コミュニティ内の他のエンティティも、OpenSea でのガスレス取引について警告を発しています。 23 月 XNUMX 日、盗難防止プロジェクト Harpie コミュニティに警告した NFT マーケットプレイスのユーザーを脅かすプライベート オークション詐欺について。 この詐欺には、盲目的に署名を承認することも含まれます。
ソース: https://cointelegraph.com/news/security-team-creates-dashboard-to-detect-potential-nft-hacks-in-opensea