Segurança cibernética na Web3, como proteger seus NFTs?

RESUMO

• Os NFTs estão aumentando na adoção, atingindo 30 mil novos usuários em setembro e um volume de negociação de US$ 70 bilhões em 2022.
  

• O sucesso do ativo tem atraído boa e má atenção, atraindo atores mal-intencionados que enganam usuários desavisados.
  

• Os usuários da Web3 que desejam escapar da perda devem se envolver em certas práticas para proteger seus NFTs contra golpes e ataques.
  

• Uma dessas práticas inclui o desenvolvimento da alfabetização web3 para detectar transações e negócios falsos e prejudiciais.
  

• Outra é armazenar corretamente chaves de carteira e frases de sementes com segurança em carteiras offline.
  

Visão geral do crescimento da Web3 e NFT este ano

À medida que a Web3 encontra seus pés no mercado global, os NFTs desempenham um papel significativo nessa adoção. No momento da escrita, os ativos digitais únicos registram um volume total negociado de US$ 68 bilhões. Este é um aumento de 75% em relação aos US$ 17 bilhões do início do ano. E embora a macroeconomia tenha dado um golpe impressionante nas criptomoedas e na Web3 este ano, a adoção do NFTs continua a aumentar. De acordo com a empresa de insights cripto Intotheblock, a partir de setembro, 30 mil novos endereços utilizaram NFTs. Além disso, mais de mil novas coleções de NFT chegaram ao mercado na mesma época. De fato, como Kevin O'Leary do Shark Tank previu, parece que o ativo on-line vai, com o tempo, vencer o Bitcoin na capitalização de mercado.

Fonte: Forbes

Por que você precisa aprender como proteger seus NFTs

Assim como inúmeros criadores, artistas, colecionadores e investidores têm gravitado em direção a tokens não-fungíveis, assim como atores maliciosos. Essas entidades empregam todos os tipos de travessuras sofisticadas para obter plataformas e usuários para liberar informações que concedem acesso a seus fundos e ativos suados. Consequentemente, mesmo que as pessoas lucram no web3, alguns estão perdendo fundos significativos devido a problemas de segurança. Algumas dessas explorações incluem golpes de puxar tapetes, roubos de funcionários e, mais frequentemente, o caso, ataques de phishing e hacking. Vejamos brevemente os dois últimos, pois eles são mais desenfreados no espaço da NFT.

Duas grandes ameaças à segurança cibernética na Web3

Fonte: AAG - AAG Ventures

Ataques de phishing

Nesta forma de violação de segurança, entidades mal-intencionadas criam um site falso usando um link semelhante a um legítimo. Em seguida, eles fariam um cenário de engenharia social encorajando os detentores de NFT desavisados a clicar em seu link falso. Estes geralmente vêm na forma de oportunidades muito boas para serem verdadeiras, como airdrops uma vez na vida ou um lançamento de token antecipado ou exclusivo. Às vezes, eles podem até mentir que a conta da vítima pretendida sofreu uma falha de segurança e precisa alterar sua senha etc.

Seja qual for a forma que for, essas ofertas são sempre vinculadas ao tempo, jogando no medo dos usuários de perder (FOMO.) Eles sempre exigem que os usuários cliquem em links suspeitos, o que leva a sites de phishing. Estes, por sua vez, dão aos golpistas acesso às chaves privadas dos titulares de carteiras e, por extensão, quaisquer fundos e ativos digitais nele contidos.

Um exemplo notável disso aconteceu em fevereiro deste ano para uma plataforma proeminente da NFT, a Opensea. Os usuários perderam mais de 1200 ETH (US$ 3,4 milhões) em NFTs em um ataque de phishing no mercado da NFT. Outro ataque semelhante ocorreu em maio envolvendo NFTs moonbird no valor de cerca de US $ 1,5 milhão (750 ETH).

Ataques de hackers

É quando hackers invadem plataformas legítimas e confiáveis, dando-lhes acesso às informações, fundos e ativos dos usuários. Isso pode acontecer nas plataformas web3 e web2, incluindo Twitter, Instagram, Discord e até sites. Como golpes de phishing, os hackers dependem da velocidade para sacar, sacar e sair antes que alguém suspeite. Houve muitas dessas façanhas desde o início deste ano. Esses golpistas têm como alvo nomes proeminentes como Bored Ape Yacht Club e Opensea, entre outros. Um excelente exemplo de tal ataque foi quando a Discórdia de Alethea Al foi hackeada em março. Seus usuários perderam 840 ETH, aproximadamente US$ 1,8 milhão na época. Além disso, o maior deste ano foi um hack de carteira quente que impactou dez carteiras na Lympo, uma marca nft baseada em esportes. As vítimas perderam US $18,7 milhões em tokens LMT naquele único hack que ocorreu em janeiro.

De acordo com dados da Comparitech, o espaço web3 perdeu US$ 36,5 milhões em NFTs em ataques de phishing e hacking no primeiro trimestre de 2022. Embora a maioria das plataformas esteja trabalhando incansavelmente para se proteger contra possíveis falhas de segurança, é dolorosamente evidente que elas são inevitáveis. Portanto, você deve aprender a proteger seus bens sozinho ou ser vítima dos muitos golpistas por aí.

Como eu protejo meus NFTs?

Agora que você sabe por que você precisa prestar atenção à segurança de seus tokens não fungíveis, a questão é como? Abaixo estão as práticas mais importantes a adotar para manter seus ativos a salvo de exploradores:

Mantenha suas chaves seguras: Se você não estiver constantemente comprando, vendendo ou trocando seus NFTs, mantenha suas chaves offline em cold wallets. Sim, as carteiras quentes (armazenamento online) tornam o acesso às suas chaves privadas e a confirmação de transações fácil e mais rápida. No entanto, essas chaves que conferem propriedade são vulneráveis a hacks, desde que você as armazene online. A melhor opção é mantê-los seguros em carteiras de hardware offline. Isso torna impossível para os hackers obter um porão de suas chaves. Lembre-se, enquanto estiver online, nenhuma carteira é inexpugnável.

Assista onde você clica: Como mencionado acima, atores mal-intencionados clonam links legítimos para enganar usuários desavisados. Mas não importa o quão sutil seja, sempre haverá um sinal que o marca como ilegítimo. Então, verifique sempre os links que você clica e certifique-se de que a URL é real.

Resista a negócios FOMO: o maior assassino em investir sempre será a ganância. Como diz o ditado, se algo parece bom demais para ser verdade, geralmente é. Portanto, tenha cuidado com os acordos que você aceita. Isso se aplica especialmente a aqueles que pressionam você a agir imediatamente. Verifique a partir de várias fontes. A página legítima que oferece um acordo pode ser comprometida; verificar suas outras plataformas. Se a oferta estiver no Twitter, verifique o Discord da empresa para verificação extra. Resista à vontade de agir por medo de perder (FOMO). Raramente acaba bem.

Não assine cegamente: não assine contratos inteligentes com base na confiança. Faça a due diligence usando uma carteira que revele todos os detalhes necessários dos contratos que você assina. Os golpistas geralmente disfarçam suas ações com alertas inócuos. Se a carteira que você usa habitualmente restringe partes de detalhes inteligentes do contrato, pode ser tentador assinar cegamente, mas não o faça. Você pode estar dando seu dinheiro suado sem saber. Certifique-se de saber todos os detalhes do que você está assinando.

Evite ofertas de DM: Os protocolos normalmente anunciam quaisquer incentivos, ofertas ou ofertas em seus sites ou plataformas de mídia social. É incomum, até impossível, que eles se aproximem de seus usuários individualmente. Portanto, se uma plataforma parece oferecer-lhe um negócio em seu DM, é melhor executar. É mais do que provável um ator malicioso querendo te enganar de seus NFTs. A coisa sábia a fazer é desconsiderar qualquer oferta que não venha através dos canais apropriados.

Entenda funções de contrato inteligente antes de assinar: Muitos usuários da Web3 têm dificuldade em entender os elementos dos contratos inteligentes que assinam. Uma coisa é não assinar cegamente, e outra coisa é compreender o que você está vendo. É aí que entender as funções do seu contrato inteligente é imperativo para evitar ser explorado por maus atores. Dê o passo de se educar sobre elementos críticos da Web3, como funções de contrato inteligente. Ele vai ajudá-lo a distinguir entre uma transação, uma confirmação, etc. E isso torna difícil para você ser vítima de ataques disfarçados.

Sua frase de semente é sua, nunca compartilhe: Sua frase de semente ou frase de recuperação é a única coisa entre você e perder sua carteira caso você perca sua chave. São as informações de backup para acessar seus tokens e fundos. Destina-se exclusivamente ao seu uso. Portanto, seria melhor manter sua frase de semente segura e offline, como as chaves da sua carteira.

Para concluir

Uma vez que nenhum sistema é totalmente infalível, você pode proteger seus tokens não fungíveis e outros ativos digitais razoavelmente seguros tomando cuidado. À medida que as violações de segurança continuam a se espalhar pelo mundo da Web3, você pode fazer algo sobre a segurança de seus ativos. Essas são as principais precauções para vê-lo através da maioria das explorações de hacking e phishing. Você estará entre os poucos usuários experientes da Web3 com ativos bem protegidos se você praticá-los.

Autor: M. Olatunji, pesquisador da Gate.io.

*Este artigo constitui apenas a opinião dos autores, pesquisadores e observadores, mas não é uma sugestão de investimento. Republicar o artigo será permitido, mas a Gate.io deverá ser referenciada. Em outras situações, tomaremos as medidas pela violação de direitos autorais.