यहां बताया गया है कि कैसे OpenSea NFT हैक ने मालिकों, खरीदारों और यहां तक कि संपूर्ण संग्रह को नुकसान पहुंचाया है

अपूरणीय टोकन (एनएफटी) बाजार 2021 की गर्मियों से फलफूल रहा है और जैसे-जैसे एनएफटी की कीमतें आसमान छू रही हैं, वैसे-वैसे एनएफटी को लक्षित करने वाले हैक की संख्या भी बढ़ी है।

सबसे हालिया हाई-प्रोफाइल हैक ने लगभग 600 ईथर की हेराफेरी की (ETH) DeFiance Capital के संस्थापक, Artur0x के NFTs के मूल्य, जो तब OpenSea पर बेचे गए थे।

चैनालिसिस द्वारा प्रकाशित 2022 क्रिप्टो अपराध रिपोर्ट में इस बात पर प्रकाश डाला गया कि अवैध पतों द्वारा एनएफटी बाज़ारों को भेजा गया मूल्य 2021 में काफी बढ़ गया, जो कि $1.4 मिलियन से भी कम हो गया। एनएफटी बाज़ारों में भेजे गए चुराए गए धन में भी स्पष्ट वृद्धि हुई थी।

एनएफटी प्लेटफार्मों पर प्रवाहित होने वाला कुल अवैध मूल्य। स्रोत: चेनैलिसिस क्रिप्टो क्राइम रिपोर्ट 2022

एनएफटी प्लेटफार्मों में अवैध मूल्य के प्रवाह में तेजी से वृद्धि को देखते हुए, यह पूछना स्वाभाविक है कि क्या सुरक्षा उपाय और प्रक्रियाएं मौजूद हैं और यदि हां, तो क्या ये उपाय मालिकों की सुरक्षा में प्रभावी हैं।

आइए सबसे बड़े एनएफटी प्लेटफॉर्म ओपनसी और इसके सुरक्षा उपायों पर एक नजर डालें।

OpenSea के सुरक्षा उपाय उपयोगकर्ताओं की सुरक्षा नहीं कर सकते

OpenSea के पास दो मुख्य सुरक्षा उपाय हैं जो किसी खाते के "हैक" हो जाने पर लागू होते हैं - समझौता किए गए खाते को लॉक करना और चोरी हुए एनएफटी को ब्लॉक करना। गौर से देखने पर ये दोनों उपाय बहुत अप्रभावी हैं।

खाते को लॉक करना OpenSea वेबसाइट पर मानव अनुमोदन के बिना किया जा सकता है दिखाया यहां, जबकि एनएफटी को ब्लॉक करने में टिकट जुटाने और ओपनसी सहायता टीम के जवाब की प्रतीक्षा करने की एक लंबी प्रक्रिया शामिल है।

ऐसी स्थिति में जहां एक हैकर ने पहले ही वॉलेट से समझौता कर लिया है और एनएफटी को बाहर स्थानांतरित करने की प्रक्रिया में है, खाते को लॉक करना केवल तभी प्रभावी होगा जब यह हैकर द्वारा सब कुछ स्थानांतरित करने से पहले किया गया हो।

इसी तरह, एनएफटी को ब्लॉक करना भी हैकर द्वारा किसी अन्य खरीदार को बेचे जाने से पहले ही प्रभावी होता है। इससे भी बुरी बात यह है कि यह सुरक्षा उपाय अप्रत्यक्ष पीड़ितों की एक श्रृंखला बनाता है जो अंततः अवरुद्ध एनएफटी के साथ समाप्त होते हैं जिन्हें बेचा या स्थानांतरित नहीं किया जा सकता है। ऐसा इसलिए है क्योंकि OpenSea में उठाए गए टिकटों के लिए प्रतिक्रिया समय कम से कम एक दिन है। जब तक एनएफटी को ओपनसी द्वारा अवरुद्ध किया जाता है, तब तक वे पहले ही किसी अन्य खरीदार को बेच दिए जा चुके होते हैं जो अब अपराध का नया शिकार बन जाता है।

आर्थर17x से चुराए गए 0 अज़ुकी के मामले में, 15 एक ही मिनट में चोरी हो गए और दो तीन मिनट बाद चोरी हो गए। इन चुराए गए एनएफटी को बेचने से पहले हैकर के वॉलेट में रहने का औसत समय 43 मिनट है। OpenSea के सुरक्षा उपाय किसी भी तरह से प्रतिक्रियाशील और त्वरित नहीं हैं कि पीड़ित को सूचित कर सकें और हैकर को रोक सकें; न ही वे खरीदारों को चोरी हुए एनएफटी खरीदने और अप्रत्यक्ष शिकार बनने से रोकने के लिए तुरंत सूचित कर सकते हैं।

*Aurther0x से अज़ुकी एनएफटी चोरी हो गए। स्रोत:* *इथरस्कैन.आईओ*

चोरी हुए एनएफटी को ब्लॉक करने से अप्रत्यक्ष शिकार बनते हैं

अप्रत्यक्ष पीड़ित वह व्यक्ति होता है जो हैक का लक्ष्य नहीं होता है, लेकिन अप्रत्यक्ष रूप से चुराए गए एनएफटी को अवरुद्ध करने के कारण होने वाले वित्तीय नुकसान से पीड़ित होता है। जैसा कि कई हालिया एनएफटी हैक्स से देखा गया है, एनएफटी हमेशा ओपनसी द्वारा ब्लॉक लागू होने से पहले बेचे जाते हैं। एनएफटी को बहुत देर से अवरुद्ध करने का परिणाम यह होता है कि यह अप्रत्यक्ष रूप से शिकार बनाता है और अधिक लोगों को अधिक नुकसान पहुंचाता है।

अधिक विस्तार से समझाने के लिए कि कैसे कोई चोरी की गई एनएफटी खरीद सकता है और हैक का अप्रत्यक्ष शिकार बन सकता है, यहां तीन सामान्य मामले हैं:

प्रकरण 1: ऐलिस ने एक एनएफटी खरीदा लेकिन बाद में पता चला कि यह चोरी की संपत्ति है। एनएफटी अवरुद्ध है और ऐलिस इसे ओपनसी पर बेच या स्थानांतरित नहीं कर सकती है। फिर वह एक समर्थन टिकट जुटाने के लिए आगे बढ़ती है। कई हफ़्तों के बाद, OpenSea ट्रस्ट और सुरक्षा टीम 2.5% प्लेटफ़ॉर्म शुल्क वापस करने की पेशकश करती है; और संभवतः उस पीड़ित का ईमेल पता जिसने चोरी की सूचना दी थी, यदि वह भाग्यशाली हो। फिर, वह ब्लॉक हटाने की संभावना पर बातचीत करने के लिए पीड़ित के साथ एक लंबी चर्चा करेगी, जो संभवतः कहीं खत्म नहीं होगी।

ऐलिस अभी भी एनएफटी को अन्य बाजारों में बेच सकती है लेकिन इस विशेष संग्रह के लिए बिक्री की मात्रा बहुत कम है और ऐसा कोई खरीदार नहीं है जो ओपनसी के अलावा अन्य प्लेटफार्मों पर उचित मूल्य की पेशकश कर सके।

*चोरी की गई एनएफटी खरीदने वाले अप्रत्यक्ष पीड़ित को ओपनसी की प्रतिक्रिया*

प्रकरण 2: ऐलिस ने एक संग्रह से एनएफटी पर बोली लगाते समय कई प्रस्ताव दिए। एक ऑफर को हैकर ने स्वीकार कर लिया, जिसने फिर पीड़ित के वॉलेट में बोली से भुगतान प्राप्त किया और वॉलेट को खाली करने के लिए आगे बढ़ा। पीड़ित द्वारा अनधिकृत लेनदेन से चुराई गई संपत्ति के हिस्से के रूप में एनएफटी को बाद में अवरुद्ध कर दिया गया था।

इस तरह के मामले अक्सर होते हैं क्योंकि सूचीबद्ध एनएफटी को तब तक स्थानांतरित नहीं किया जा सकता जब तक कि लिस्टिंग रद्द न हो जाए। हैकर, जो समय के दबाव में है, बोली प्रस्ताव स्वीकार करने और बिक्री से आय प्राप्त करने और पैसे बाहर स्थानांतरित करने की अधिक संभावना होगी। नीचे दिया गया मामला दिखाता है कि कैसे अप्रत्यक्ष पीड़ित के संपूर्ण एनएफटी संग्रह को बिना किसी स्पष्टीकरण के ओपनसी द्वारा अवरुद्ध कर दिया गया था।

कैसे के बारे में मेरा सूत्र यहां है @खुला समुद्र मेरे 40 वेथ के ऑफर के बाद अनुचित तरीके से मेरे खाते को ब्लॉक कर दिया गया और मेरे सभी एनएफटी को फ्रीज कर दिया गया @BoredApeYC #6267 स्वीकार किया गया।
मुझे लगता है कि इस मामले को एनएफटी समुदाय के बीच फैलाना बहुत महत्वपूर्ण है!
आइए शुरू करें ⬇️ pic.twitter.com/xnxctpzzpL
- Mpa3yka (@Mpa3yka) नवम्बर 10/2021

प्रकरण 3: ऐलिस के पास काफी समय से एनएफटी है और अचानक इसे ब्लॉक कर दिया गया और इसे "संदिग्ध गतिविधि के लिए रिपोर्ट किया गया" के रूप में चिह्नित किया गया। विक्रेता के खाते से समझौता नहीं किया गया है और लेनदेन कुछ समय पहले हुआ है। चूंकि चोरी हुए एनएफटी की रिपोर्ट करने और उसे ब्लॉक करने के लिए किसी सबूत की आवश्यकता नहीं है, कोई भी किसी भी एनएफटी को ब्लॉक करने के लिए ओपनसी की धोखाधड़ी-रोधी टीम को एक ईमेल भेज सकता है।

हालाँकि बाद में पुलिस रिपोर्ट का अनुरोध किया जा सकता है, लेकिन ओपनसी द्वारा हैक को साबित करने के लिए आवश्यक सबूत निर्दिष्ट करने के लिए न तो कोई स्पष्ट बयान है और न ही ऐसी कोई शर्त है जिसके तहत झूठी रिपोर्ट की गई चोरी की एनएफटी की पहचान की जा सके और उसे ब्लॉक से हटाया जा सके। चोरी हुए एनएफटी की झूठी रिपोर्ट करने पर कोई परिणाम नहीं होगा।

एनएफटी को अक्सर बिना किसी स्पष्टीकरण या साक्ष्य जैसे कि अप्रत्यक्ष पीड़ित को प्रदान की गई पुलिस रिपोर्ट के बिना अवरुद्ध कर दिया जाता है। सैद्धांतिक रूप से, इन एनएफटी का अभी भी अन्य प्लेटफार्मों पर कारोबार किया जा सकता है, लेकिन बाजार में ओपनसी के एकाधिकार को देखते हुए, कुल एनएफटी ट्रेडिंग वॉल्यूम के 95% के साथ, ओपनसी पर किसी भी एनएफटी को रोकना उन्हें हमेशा के लिए बाजार से बाहर करने के बराबर है।

एनएफटी को अवरुद्ध करने से कीमत कृत्रिम रूप से बढ़ सकती है

चोरी हुए एनएफटी को सबसे बड़े एनएफटी प्लेटफॉर्म ओपनसी पर व्यापार करने से रोकने का खतरा आपूर्ति में स्थायी कमी है। पर आधारित आपूर्ति और मांग का नियम अर्थशास्त्र के सिद्धांत में, जब आपूर्ति कम हो जाती है, तो कीमत बढ़ जाती है।

उदाहरण के तौर पर, अज़ुकी संग्रह में 10,000 एनएफटी हैं और वर्तमान में, ओपनसी पर केवल 1,100 बिक्री पर हैं। आर्थर0एक्स हैक के परिणामस्वरूप 17 चोरी हो गए और अवरुद्ध हो गए। हालाँकि 17 एनएफटी 1.5 सर्कुलेटिंग सप्लाई का केवल 1,100% के आसपास हैं, हैक के बाद कीमत में पहले से ही वृद्धि की प्रवृत्ति देखी गई है। हैक 22 मार्च को हुआ और कीमत नुकीला 28 मार्च को एयरड्रॉप घोषणा से पहले 20.96 मार्च से 31 ई तक - एक सप्ताह के भीतर 55% की वृद्धि।

*हैक के बाद अज़ुकी की बिक्री और औसत कीमत। स्रोत: ओपनसी*

हालाँकि चुराए गए 17 एनएफटी में से सभी को ब्लॉक नहीं किया गया है क्योंकि आर्थर उन्हें वापस खरीदने के लिए अप्रत्यक्ष पीड़ितों के साथ बातचीत के माध्यम से कुछ को पुनर्प्राप्त करने में कामयाब रहे, भविष्य में इसी तरह के हैक लगातार होंगे और ब्लॉक किए गए एनएफटी की संचयी संख्या केवल बढ़ सकती है क्योंकि हैक जारी रहेंगे और उन्हें अनब्लॉक करने के लिए कोई प्रक्रिया मौजूद नहीं है।

एक उदाहरण के रूप में फिर से अज़ुकी का उपयोग करते हुए, नीचे दिया गया ग्राफ़ मांग वक्र बनाने के लिए बिक्री की ऐतिहासिक संख्या और औसत मूल्य एकत्र करता है और मानता है कि आपूर्ति वक्र रैखिक है। वह बिंदु जहां आपूर्ति और मांग वक्र प्रतिच्छेद करते हैं वह संतुलन कीमत है।

जैसे-जैसे आपूर्ति लगातार घटती जाती है, मांग वक्र का ढलान तेज होते जाने से कीमत में वृद्धि की गति तेज हो जाती है। 300 से 1,000 वर्स की आपूर्ति में 700 एनएफटी की समान कमी के परिणामस्वरूप बाद वाले के लिए बड़ी कीमत में वृद्धि होती है।

जैसा कि नीचे दिए गए ग्राफ़ में दिखाया गया है, कीमत 15 से 21 की कटौती से 1,000 ईटीएच से 700 ईटीएच तक बढ़ जाती है, लेकिन 21 से 28 की कटौती से 700 ईटीएच से 400 ईटीएच तक बढ़ जाती है।

*अज़ुकी की आपूर्ति और मांग वक्र ओपनसी से बिक्री और कीमतों पर आधारित है*

यह देखने में स्पष्ट है कि चोरी हुए एनएफटी को अवरुद्ध करने से संग्रह की कीमत कृत्रिम रूप से बढ़ सकती है। यदि कोई एक ही संग्रह से कई एनएफटी को चोरी के रूप में गलत तरीके से रिपोर्ट करके ओपनसी सुरक्षा प्रणाली में खामियों का फायदा उठाना चाहता है (चूंकि चोरी हुए एनएफटी की रिपोर्ट करने के लिए किसी सबूत की आवश्यकता नहीं है), तो आपूर्ति कम होने पर संग्रह की कीमत नाटकीय रूप से बढ़ सकती है। . यह खामी इलिक्विड एनएफटी बाजार में मूल्य में हेरफेर के अवसर पैदा कर सकती है।

किसी भी मामले में, एनएफटी को अवरुद्ध करना हैक को रोकने या हैकर को दंडित करने का एक प्रभावी उपाय नहीं है, बल्कि इसके विपरीत, बाजार में हेरफेर करने वालों के लिए अधिक अप्रत्यक्ष शिकार और खामियां पैदा करता है। यह निश्चित रूप से जाने का रास्ता नहीं है, तो क्या कोई प्रभावी सुरक्षा उपाय है?

निवारक उपायों और साक्ष्य-आधारित प्रणाली की आवश्यकता है

वर्तमान OpenSea सुरक्षा प्रणाली में उपयोगकर्ताओं की अग्रिम सुरक्षा के लिए कोई निवारक उपाय नहीं हैं। सभी सुरक्षा उपाय हैक के बाद ही लागू किए जाते हैं, जो उनके अप्रभावी होने का एक मुख्य कारण है।

हैकर्स के व्यवहार के आधार पर, समय एक आवश्यक घटक है। सुरक्षा उपाय जो हैकर को धीमा कर सकते हैं या पीड़ितों को जल्दी सूचित कर सकते हैं, लड़ाई जीतने की कुंजी हैं। यहां कुछ और प्रभावी निवारक उपाय दिए गए हैं जिन्हें OpenSea द्वारा लागू किया जा सकता है:

एक प्रारंभिक चेतावनी प्रणाली बनाएं जो असामान्य खाता गतिविधि का पता लगा सके और उपयोगकर्ताओं को ऐसी गतिविधि के बारे में सूचित करने के लिए त्वरित पाठ संदेश या ईमेल अलर्ट भेज सके ताकि उनके पास प्रतिक्रिया देने के लिए पर्याप्त समय हो। उदाहरण के लिए, यदि खाते ने कभी भी एक मिनट के भीतर एक से अधिक एनएफटी नहीं खरीदा या स्थानांतरित नहीं किया है; या यदि खाते में किसी विशिष्ट समय अवधि (यानी समय क्षेत्र जब उपयोगकर्ता सो रहा हो) के दौरान अतीत में कभी कोई गतिविधि नहीं हुई है, तो ऐसी गतिविधियों की घटना का पता मशीन लर्निंग एल्गोरिदम द्वारा लगाया जाएगा। खाताधारक तुरंत सूचित करना चुन सकता है, या सुरक्षा के लिए खाते को स्वचालित रूप से लॉक करने की अनुमति दे सकता है।

उपयोगकर्ताओं को एक समय सीमा के भीतर अनुमत एनएफटी हस्तांतरण या बिक्री की अधिकतम संख्या को सीमित करने का विकल्प प्रदान करें, यानी, एक मिनट के भीतर अधिकतम एक हस्तांतरण या बिक्री; या प्रत्येक हस्तांतरण या बिक्री के बीच एक न्यूनतम समय अंतराल लगाया गया है, यानी, अगला स्थानांतरण या बिक्री पिछले हस्तांतरण के 15 मिनट बाद ही हो सकती है। ये उपाय हैकर्स को एक बार में बड़ी संख्या में एनएफटी चुराने से रोक सकते हैं।

संदिग्ध खाता डैशबोर्ड बनाएं जो पीड़ितों को सार्वजनिक जांच के लिए तुरंत हैक किए गए खातों और हैकर के खातों को जोड़ने की अनुमति देता है। यह सभी खरीदारों को संदिग्ध खातों के बारे में वास्तविक समय की जानकारी देगा और खरीदने से पहले यह जांचने की क्षमता देगा कि विक्रेता सूची में है या नहीं। बाद में पीड़ित से यह साबित करने के लिए पुलिस रिपोर्ट जैसे साक्ष्य का अनुरोध किया जा सकता है कि रिपोर्ट किए गए खातों से वास्तव में समझौता किया गया है।

इनमें से कुछ उपाय गलत अलार्म और असुविधा पैदा कर सकते हैं। लेकिन जब निवारक उपायों की बात आती है तो यह हैकर के खिलाफ समय की दौड़ है, उपयोगकर्ता अगला शिकार बनने से बचने के लिए खेद जताने के बजाय सुरक्षित रहना पसंद करेंगे।

क्रिप्टो हैकिंग के बारे में आम गलतफहमियाँ

क्रिप्टो हैकिंग के बारे में एक आम ग़लतफ़हमी यह है कि "यह मेरे साथ नहीं होगा क्योंकि मेरी सुरक्षा जागरूकता अधिक है और मैं एक हार्ड वॉलेट का उपयोग करता हूँ।" यह सच हो सकता है कि अच्छे सुरक्षा अभ्यास के माध्यम से प्रत्यक्ष दुर्भावनापूर्ण हैक से बचा जा सकता है, लेकिन कोई भी व्यक्ति किसी अन्य को लक्षित करने वाले हैक का अप्रत्यक्ष शिकार बन सकता है। जब हैक की संख्या बढ़ती है, तो अप्रत्यक्ष शिकार बनने की संभावना भी बहुत अधिक होती है।

एक और ग़लतफ़हमी यह है, "जब तक मैं अपने हॉट वॉलेट में बहुत अधिक पैसा नहीं रखता, इससे कोई फर्क नहीं पड़ता कि वॉलेट से समझौता हुआ है।" अधिकांश उपयोगकर्ता यह समझने में विफल रहते हैं कि मौद्रिक हानि हैक का केवल एक परिणाम है। Web3 वॉलेट खोना आपके संपूर्ण क्रेडिट इतिहास को खोने जैसा है। पिछली गतिविधियों जैसे कि एयरड्रॉप या ऋण और उत्तोलन तक पहुंच के आधार पर कोई भी भविष्य का लाभ भी समझौता किए गए वॉलेट के साथ लुप्त हो सकता है।

हालाँकि ब्लॉकचेन अब तक बनाई गई सबसे सुरक्षित वित्तीय तकनीकों में से एक है, क्रिप्टो-आधारित प्लेटफार्मों के प्रति दुर्भावनापूर्ण हैक वेब3 उद्यम के लिए सबसे बड़ा खतरा हैं।

ब्लॉकचेन की अपरिवर्तनीय प्रकृति और OpenSea में निवारक सुरक्षा उपायों की कमी को देखते हुए, यह देखना कठिन नहीं है कि OpenSea सबसे अच्छा समाधान लेकर आया है। एथेरियम डोमेन नीलामी हैक चोरी किए गए एनएफटी की वापसी के बदले में हैकर को बिक्री से 25% लाभ की पेशकश करना है। केवल एनएफटी बाजार की दुनिया में ही किसी अपराधी को इतने गंभीर अपराध के लिए दंडित करने के बजाय पुरस्कृत किया जा सकता है।

एनएफटी बाजार के एकाधिकार के रूप में, ओपनसी निश्चित रूप से इससे बेहतर कर सकता है और सुरक्षा उपायों को अधिक गंभीरता से ले सकता है और अपने उपयोगकर्ताओं को अधिक सुरक्षा प्रदान कर सकता है।

यहां व्यक्त विचार और राय पूरी तरह से लेखक के हैं और आवश्यक रूप से Cointelegraph.com के विचारों को प्रतिबिंबित नहीं करते हैं। प्रत्येक निवेश और व्यापारिक कदम में जोखिम शामिल होता है, निर्णय लेने पर आपको अपना खुद का शोध करना चाहिए।