डिजिटल परिसंपत्ति क्षेत्र में चल रही अस्थिरता के बावजूद, एक जगह जो निस्संदेह फलती-फूलती रही है, वह है अपूरणीय टोकन (एनएफटी) बाजार। यह इस तथ्य से स्पष्ट होता है कि कोका-कोला, एडिडास, न्यूयॉर्क स्टॉक एक्सचेंज (एनवाईएसई) और मैकडॉनल्ड्स सहित कई अन्य लोगों सहित मुख्यधारा के प्रस्तावक और शेकर्स की बढ़ती संख्या ने मेटावर्स पारिस्थितिकी तंत्र में अपना रास्ता बना लिया है। हाल के महीनों में।
इसके अलावा, इस तथ्य के कारण कि अकेले 2021 के दौरान, वैश्विक एनएफटी बिक्री 40 अरब डॉलर पर पहुंच गई, कई विश्लेषकों को यह प्रवृत्ति भविष्य में जारी रहने की उम्मीद है। उदाहरण के लिए, अमेरिकी निवेश बैंक जेफ़रीज़ ने हाल ही में एनएफटी क्षेत्र के लिए 2022 के लिए 35 अरब डॉलर से अधिक और 2025 के लिए 80 अरब डॉलर से अधिक के लिए अपने मार्केट कैप पूर्वानुमान को बढ़ा दिया है – एक प्रक्षेपण जिसे जेपी मॉर्गन ने भी प्रतिध्वनित किया था।
हालांकि, जैसा कि किसी भी बाजार में इतनी घातीय दर से बढ़ रहा है, सुरक्षा से संबंधित मुद्दों की भी उम्मीद की जानी चाहिए। इस संबंध में, प्रमुख अपूरणीय टोकन (NFT) बाज़ार OpenSea हाल ही में एक फ़िशिंग हमले का शिकार हुआ, जो प्लेटफ़ॉर्म द्वारा सभी निष्क्रिय NFT को हटाने के लिए सप्ताह भर चलने वाले नियोजित अपग्रेड की घोषणा के कुछ ही घंटों बाद हुआ था।
मामले में गोता लगाना
18 फरवरी को, OpenSea ने खुलासा किया कि वह एक स्मार्ट अनुबंध उन्नयन शुरू करने जा रहा था, जिसके लिए उसके सभी उपयोगकर्ताओं को अपने सूचीबद्ध NFT को Ethereum ब्लॉकचेन से एक नए स्मार्ट अनुबंध में स्थानांतरित करने की आवश्यकता थी। अपग्रेड के कारण, जो उपयोगकर्ता उपर्युक्त माइग्रेशन को सुविधाजनक बनाने में विफल रहे, उनकी पुरानी और निष्क्रिय लिस्टिंग को खोने का जोखिम था।
उस ने कहा, OpenSea द्वारा प्रदान की गई छोटी प्रवासन समय सीमा के कारण, हैकर्स को अवसर की एक शक्तिशाली खिड़की के साथ प्रस्तुत किया गया था। घोषणा के कुछ घंटों के भीतर, यह पता चला कि नापाक तीसरे पक्ष के व्यक्तियों ने एक परिष्कृत फ़िशिंग अभियान शुरू किया है, जो नए स्मार्ट अनुबंध में माइग्रेट किए जाने से पहले प्लेटफ़ॉर्म पर संग्रहीत कई उपयोगकर्ताओं से एनएफटी चुरा रहा है।
इस मामले का तकनीकी विश्लेषण प्रदान करते हुए, नीरज मुरारका, मुख्य तकनीकी अधिकारी और ब्लूज़ेल के सह-संस्थापक, GameFi पारिस्थितिकी तंत्र के लिए एक ब्लॉकचेन, ने कॉइनटेक्ग्राफ को बताया कि घटना के समय, OpenSea एक मानक तकनीकी मॉड्यूल, वायवर्न नामक एक प्रोटोकॉल का उपयोग कर रहा था। अधिकांश एनएफटी वेब ऐप इसका उपयोग करते हैं क्योंकि यह उपयोगकर्ताओं के बटुए के भीतर इन टोकन के प्रबंधन, भंडारण और हस्तांतरण की अनुमति देता है।
क्योंकि वायवर्न के साथ स्मार्ट अनुबंध ने उपयोगकर्ताओं को अपने “वॉलेट” में संग्रहीत एनएफटी के साथ काम करने की अनुमति दी थी, हैकर ओपनसी ग्राहकों को मंच के प्रतिनिधि के रूप में ईमेल भेजने में सक्षम था, जिससे उन्हें “अंधे” लेनदेन पर हस्ताक्षर करने के लिए प्रोत्साहित किया गया। मुरारका ने आगे कहा:
“रूपक रूप से, यह एक खाली चेक पर हस्ताक्षर करने जैसा था। आम तौर पर, यह ठीक है यदि प्राप्तकर्ता इच्छित प्राप्तकर्ता है। ध्यान रखें कि ईमेल किसी के द्वारा भी भेजा जा सकता है, लेकिन ऐसा प्रतीत होता है कि ईमेल किसी और द्वारा भेजा गया है। इस मामले में, प्राप्तकर्ता एक एकल हैकर प्रतीत होता है जो इन हस्ताक्षरित लेनदेन का उपयोग इन उपयोगकर्ताओं से एनएफटी को प्रभावी ढंग से स्थानांतरित करने और प्रभावी ढंग से चोरी करने में सक्षम था।
साथ ही, घटनाओं के एक दिलचस्प मोड़ में, घटना के बाद हैकर ने चोरी हुए कुछ एनएफटी को उनके वास्तविक मालिकों को वापस कर दिया, साथ ही अन्य खोई हुई संपत्ति को वापस करने के लिए और प्रयास किए जा रहे थे। पूरे मामले पर अपनी राय देते हुए, वेब 3 कंटेंट क्रिएशन प्लेटफॉर्म, क्रिएटन के संस्थापक अलेक्जेंडर क्लूस ने कॉइनक्लेग को बताया कि फ़िशिंग ईमेल अभियान ने किसी भी समय सभी होल्डिंग्स को समाप्त करने में सक्षम होने के लिए सभी होल्डिंग्स को मंजूरी देने के लिए एक दुर्भावनापूर्ण हस्ताक्षर लेनदेन का उपयोग किया। “हमें बेहतर हस्ताक्षर मानकों (ईआईपी -712) की आवश्यकता है ताकि लोग वास्तव में देख सकें कि लेनदेन को मंजूरी देते समय वे क्या कर रहे हैं।”
अंत में, ब्लॉकचैन सॉफ्टवेयर कंपनी जेलुरिडा के कोफाउंडर और निदेशक लियोर याफ ने बताया कि यह प्रकरण ओपनसी के खराब नियोजित स्मार्ट अनुबंध उन्नयन के साथ-साथ मंच के लेनदेन अनुमोदन वास्तुकला के आसपास के भ्रम का प्रत्यक्ष परिणाम था।
एनएफटी मार्केटप्लेस को अपने सुरक्षा खेल को बढ़ाने की जरूरत है
मुरारका के विचार में, वायवर्न स्मार्ट कॉन्ट्रैक्ट सिस्टम का उपयोग करने वाले वेब ऐप्स को उपयोगिता सुधार के साथ संवर्धित किया जाना चाहिए ताकि यह सुनिश्चित हो सके कि उपयोगकर्ता इस तरह के फ़िशिंग हमलों के लिए बार-बार गिर न जाएं, जोड़ना:
“फ़िशिंग हमलों के बारे में उपयोगकर्ता को शिक्षित करने और इस तथ्य को घर चलाने के लिए बहुत स्पष्ट चेतावनी दी जानी चाहिए कि ईमेल कभी नहीं भेजे जाएंगे, उपयोगकर्ता को कोई कदम उठाने के लिए कहें। OpenSea जैसे वेब ऐप्स को केवल पंजीकरण डेटा के अलावा ईमेल के माध्यम से उपयोगकर्ताओं के साथ संवाद नहीं करने के लिए एक सख्त प्रोटोकॉल अपनाना चाहिए।
उस ने कहा, उन्होंने स्वीकार किया कि भले ही ओपनसी को सबसे सुरक्षित सुरक्षा/गोपनीयता प्रोटोकॉल और मानकों को अपनाना था, फिर भी इन जोखिमों के बारे में खुद को शिक्षित करने के लिए इसके उपयोगकर्ताओं पर निर्भर है। “दुर्भाग्य से, वेब ऐप को अक्सर जिम्मेदार ठहराया जाता है, भले ही वह उपयोगकर्ता था जिसे फ़िश किया गया था। कौन जिम्मेदार है? उत्तर अस्पष्ट है, ”उन्होंने कहा।
इसी तरह की भावना एक विकेन्द्रीकृत ब्लॉकचेन पारिस्थितिकी तंत्र, पैरेललचैन लैब के चीफ ऑफ स्टाफ जेसी चैन द्वारा साझा की जाती है, जिन्होंने कॉइनटेक्ग्राफ को बताया कि चाहे पूरे हमले को कैसे भी अंजाम दिया गया हो, यह मुद्दा
पूरी तरह से ओपनसी के मौजूदा सुरक्षा प्रोटोकॉल पर निर्भर नहीं है, बल्कि इसके खिलाफ उपयोगकर्ता जागरूकता पर भी निर्भर करता है। फ़िशिंग सवाल यह है कि क्या मार्केटप्लेस ऑपरेटर को अपने उपयोगकर्ताओं को इस तरह के परिदृश्यों से निपटने के तरीके के बारे में सूचित रखने के लिए पर्याप्त जानकारी प्रदान करने में सक्षम होना चाहिए था।
किसी भी संभावित फ़िशिंग ईवेंट को कम करने की एक और संभावना यह है कि उपयोगकर्ताओं और उनके वेब ऐप्स के बीच सभी इंटरैक्शन पूरी तरह से एक समर्पित मोबाइल/डेस्कटॉप इंटरफ़ेस के उपयोग के माध्यम से संचालित होते हैं। “यदि सभी इंटरैक्शन के लिए डेस्कटॉप ऐप के उपयोग की आवश्यकता होती है, तो ऐसे हमलों को पूरी तरह से दरकिनार किया जा सकता है।”
इस विषय पर अपनी राय देते हुए, याफ ने कहा कि मुख्य समस्या – जो इस पूरे मुद्दे के केंद्र में है – अधिकांश एनएफटी मार्केटप्लेस की बुनियादी वास्तुकला है, जो उपयोगकर्ताओं को उपयोग करने के लिए तीसरे पक्ष के अनुबंध के लिए कार्टे ब्लैंच अनुमोदन पर हस्ताक्षर करने में सक्षम बनाती है। खर्च की सीमा निर्धारित किए बिना उनका निजी वॉलेट:
“चूंकि OpenSea टीम ने वास्तव में फ़िशिंग ऑपरेशन के स्रोत का पता नहीं लगाया था, इसलिए अगली बार जब वे अपने आर्किटेक्चर में बदलाव करने का प्रयास करेंगे तो यह फिर से हो सकता है।”
क्या किया जा सकता है?
मुरारका ने कहा कि इन हमलों की संभावना को खत्म करने का सबसे अच्छा तरीका यह है कि लोग हार्डवेयर वॉलेट का उपयोग करना शुरू कर दें। इसका कारण यह है कि अधिकांश सॉफ्टवेयर वॉलेट और साथ ही अन्य कस्टोडियल स्टोरेज समाधान उनके सामान्य डिजाइन और परिचालन दृष्टिकोण में बहुत कमजोर हैं। उन्होंने आगे विस्तार से बताया: “बिटकॉइन, एथेरियम, आदि की तरह, एनएफटी को खुद को एक केंद्रीकृत प्लेटफॉर्म पर छोड़ने के बजाय हार्डवेयर वॉलेट खातों में ले जाया जाना चाहिए,” जोड़ना:
“उपयोगकर्ताओं को उनके द्वारा प्राप्त ईमेल का जवाब देने और उन पर कार्रवाई करने के जोखिमों के बारे में सुपर जागरूक होने की आवश्यकता है। ईमेल बहुत आसानी से नकली हो सकते हैं, और उपयोगकर्ताओं को अपनी क्रिप्टो संपत्ति की सुरक्षा के बारे में सक्रिय रहने की आवश्यकता है।”
एनएफटी मालिकों को एक और बात याद रखने की जरूरत है कि उन्हें केवल उन वेब ऐप्स पर जाना चाहिए जो उच्च गुणवत्ता वाले सुरक्षा प्रोटोकॉल को नियोजित करते हैं, यह जांचते हुए कि एक्सेस किए गए मार्केटप्लेस एचटीटीपीएस तंत्र का उपयोग करते हैं (कम से कम) जबकि लॉक प्रतीक को स्पष्ट रूप से देखने में सक्षम होते हैं। किसी भी वेबपेज पर जाते समय – उनकी ब्राउज़र विंडो के ऊपर बाईं ओर – जो सही ढंग से इच्छित कंपनी की ओर इशारा करती है।
Yaffe का मानना है कि उपयोगकर्ताओं को अनुबंध अनुमोदन से सावधान रहना चाहिए और उन अनुबंधों का सटीक ट्रैक रखना चाहिए जिन्हें उन्होंने अतीत में हरी झंडी दिखाई है। “उपयोगकर्ताओं को अनावश्यक या असुरक्षित अनुमोदन रद्द कर देना चाहिए। यदि संभव हो तो उपयोगकर्ताओं को प्रत्येक अनुबंध अनुमोदन के लिए एक उचित खर्च सीमा निर्दिष्ट करनी चाहिए,” उन्होंने निष्कर्ष निकाला।
अंत में, चैन का मानना है कि एक आदर्श परिदृश्य में, उपयोगकर्ताओं को अपने वॉलेट को एक समर्पित प्लेटफॉर्म पर रखना चाहिए, जिसका उपयोग वे ईमेल पढ़ने या वेब ब्राउज़ करने के लिए नहीं करते हैं, यह कहते हुए कि इस तरह के किसी भी तरीके तीसरे पक्ष के हमलों के सभी तरीकों के अधीन हैं। उसने आगे कहा:
“यह असुविधाजनक है, लेकिन जब महान मूल्य की संपत्ति से निपटना और चोरी की स्थिति में कोई सहारा नहीं है, तो अत्यधिक सावधानी उचित है। और, सभी वित्तीय लेनदेन के साथ, उन्हें यह तय करने में बहुत सावधानी बरतनी चाहिए कि किसके साथ सौदा करना है, क्योंकि प्रतिपक्ष भी आपकी संपत्ति चुरा सकते हैं और गायब हो सकते हैं।”
इसलिए, एनएफटी और अन्य समान उपन्यास डिजिटल प्रसाद द्वारा संचालित भविष्य में आगे बढ़ते हुए, यह देखा जाना बाकी है कि इस स्थान के भीतर काम करने वाले प्लेटफॉर्म कैसे विकसित और परिपक्व होते रहते हैं, खासकर जब पूंजी की बढ़ती मात्रा एनएफटी बाजार में अपना रास्ता बनाती रहती है।
