Les victimes de hacks NFT devraient-elles être indemnisées par les créateurs ?


En bref

  • Les comptes de réseaux sociaux des projets NFT, des créateurs et des influenceurs sont piratés et utilisés pour partager des liens frauduleux, ce qui peut entraîner le vol des NFT et des jetons des utilisateurs.
  • Certains créateurs notables sont en conflit quant à savoir s’ils doivent indemniser les utilisateurs concernés, citant l’accent mis par Web3 sur l’auto-garde et la responsabilité personnelle.

Les piratages sur les réseaux sociaux se multiplient NFT communauté, et il est rare ces derniers temps de voir un jour ou deux passer sans qu’un projet important ou le compte d’un créateur ne soit compromis.

Pour les collectionneurs, les conséquences peuvent être importantes : les utilisateurs qui s’engagent dans les escroqueries partagées par des comptes piratés ont collectivement perdu des millions de dollars en objets de collection NFT et autres jetons, tout cela parce qu’ils ont connecté leur portefeuille à ce qu’ils croyaient être une monnaie NFT légitime ou une réclamation de jeton. .

Quel est le recours dans ces cas, et quelle est la responsabilité des créateurs de NFT envers les collectionneurs lorsque leurs comptes sont piratés et utilisés pour perpétrer des escroqueries ? Dans certains cas, les créateurs de projets NFT ont indemnisé les utilisateurs concernés, généralement en remboursant la valeur marchande des objets de collection en Ethereum.

Cependant, les créateurs sont de plus en plus hostiles au remboursement des utilisateurs qui perdent des actifs en s’engageant dans des escroqueries sur les réseaux sociaux. Certains voient ce genre d’effort de compensation comme récompensant les actions imprudentes des utilisateurs qui ne prennent pas de précautions, ce qui va à l’encontre des principes de l’industrie de la cryptographie en matière d’auto-garde, de responsabilité et d’exécution de recherches adéquates.

Alors que les hacks des médias sociaux prolifèrent, voici comment le débat sur la rémunération évolue et ce que les constructeurs notables de l’espace NFT en disent.

Augmentation des attaques

Au cours des dernières semaines seulement, les comptes de médias sociaux de plusieurs projets, créateurs et collectionneurs NFT notables ont été piratés et utilisés pour diffuser des liens frauduleux. Lorsque les gens interagissent avec ces liens, connectent un portefeuille et approuvent la transaction demandée, cela les ouvre au vol de leurs NFT et autres jetons.

Des exemples récents de telles attaques ont inclus le Noms du projet Ethereum NFTdont le compte Twitter a été compromis le 27 juin. Au total, des NFT d’une valeur d’environ 42 ETH (64 000 $ aujourd’hui) ont été volé à 25 utilisateurs qui s’est engagé avec le lien partagé par les attaquants.

Le collectionneur et commerçant NFT pseudonyme Zeneca avait son compte Twitter compromis cette semaine, bien que l’étendue des dommages causés aux utilisateurs ne soit pas claire. Artiste DeeKayLe compte Twitter de a également été piraté récemment, ainsi que ceux de collectionneurs renommés Franklin et Clavier Singe.

Artiste Mike « Beeple » WinkelmannLe compte de a été piraté fin mai, avec une valeur estimée à 438 000 $ de jetons et de NFT volés aux utilisateurs, selon Métamasque analyste de sécurité Harry Deley. Beeple fait aucune mention d’indemnisation prévue pour les utilisateurs concernés.

Le compte Twitter de Jenkins le valetun projet Tally Labs basé sur un Club nautique Bored Ape NFT, a été piraté et repris en juin. Les créateurs ont déclaré que les utilisateurs avaient perdu Bored Apes, Singes mutantset d’autres NFT précieux via l’exploit, et qu’il compenserait les utilisateurs basé sur prix plancher (ou NFT disponible le moins cher) pour chaque projet.

L’un des exemples les plus notables à ce jour d’un piratage de médias sociaux d’un projet NFT majeur est le Bored Ape Yacht Club lui-même, qui avait son compte Instagram compromis avec un faux lien de menthe en avril. Yuga Labs a estimé la valeur des NFT volés à environ 2,8 millions de dollars et a déclaré qu’il travaillait pour entrer en contact avec les utilisateurs concernés.

Décrypter a demandé vendredi aux représentants de Yuga s’il finissait par indemniser les utilisateurs, mais ils n’ont pas répondu. Juste cette semaine, Yuga a tweeté qu’il était au courant « d’un groupe de menaces persistantes qui cible la communauté NFT », qui, selon lui, « pourrait bientôt lancer une attaque coordonnée ciblant plusieurs communautés via des comptes de médias sociaux compromis ».

Il y a eu d’autres exemples ces derniers mois, notamment lorsque le serveur Discord d’un projet a été compromis, avec des attaquants utilisant l’accès pour partager des liens vers des monnaies NFT frauduleuses ou des baisses de jetons. Le Bored Ape Yacht Club propre Discord a été piraté en juinpar exemple, avec environ 200 ETH (359 000 $ à l’époque) de NFT volés aux utilisateurs.

Solana Marché des jeux NFT Fractale a fait face à une telle attaque en décembre dernier et a déclaré qu’elle indemniserait les utilisateurs à hauteur de 150 000 $ de SOL, tandis que le jeu Discord pour NFT Phantom Galaxies a été piraté en novembre. L’éditeur Animoca Brands a déclaré qu’il rembourser les utilisateurs pour 1,1 million de dollars d’ETH dans cet exemple.

Le week-end dernier, Premint, une plate-forme d’enregistrement pour les gouttes NFT, a vu son site Web piraté avec du code JavaScript malveillant. Utilisateurs perdu des centaines de NFT en s’engageant avec le lien frauduleux, et Premint a décidé de les rembourser avec plus de 500 000 $ d’ETH sur la base du prix plancher de ces NFT, en plus de racheter et de restituer deux des NFT volés les plus précieux.

« Pas une garantie »

Fait intéressant, dans certaines des situations ci-dessus, même les créateurs qui ont indemnisé les utilisateurs ont exprimé des doutes à ce sujet, du moins à long terme, ou ont déclaré qu’ils ne le feraient plus.

Dans un compte post-mortem, pseudonyme Nouns co-créateur 4156 a noté des lacunes dans sa configuration de sécurité, comme un manque d’autorisation à deux facteurs ou un plan pour faire face aux attaques. Il a décrit la compensation comme « un acte de bonne volonté ponctuel » et « pas une garantie » que le Trésor des noms rembourserait les utilisateurs dans des situations similaires.

« Bien qu’il soit nul de dire que les gens ne devraient pas être remboursés pour avoir été trompés via votre compte, ces utilisateurs se livrent à des activités sans diligence raisonnable dans le but de gagner de l’argent rapidement, et sont finalement ceux qui signent les messages qui autorisent [withdrawals] de leurs portefeuilles », a écrit 4156 dans un fil de suivi La semaine dernière.

Il a ajouté que la plupart des utilisateurs demandant une indemnisation étaient « des utilisateurs de crypto extrêmement peu avertis » et que beaucoup ne pouvaient pas prouver qu’ils avaient été affectés. Il est sorti de l’expérience « avec le sentiment que le remboursement était un pansement de relations publiques à court terme » pour les hacks, et que « la normalisation du remboursement supprime l’incitation à la responsabilité personnelle ».

Dans le cas de Premint, le fondateur Brenden Mulligan a spécifiquement déclaré que le projet rembourserait les utilisateurs parce que l’attaque s’est produite sur son site Web, plutôt que sur un canal de médias sociaux. Il a également souligné OpenSea indemnise les utilisateurs en janvier pour un problème d’interface utilisateur sur son marché, qui a conduit les propriétaires à vendre par inadvertance des NFT à un prix inférieur à la valeur marchande.

« Pour nous, quelqu’un a manipulé un fichier sur Premint et a pu lancer une UI sur notre site Web. Cela nous appartiendra. Nous n’aurions pas dû laisser cela se produire, alors nous essayons de compenser », a déclaré Mulligan. Décrypter. « Il y a encore un argument à faire valoir que les gens auraient dû être plus prudents, mais dans ces cas, je pense que l’indemnisation est une option à envisager. »

Cependant, Mulligan n’est pas d’accord avec l’idée de compenser les utilisateurs qui perdent des NFT via des liens cliqués sur les plateformes de médias sociaux. Il estime que les attaques via les comptes Twitter de Zeneca et DeeKay n’étaient pas leurs fautes respectives, et tweeté que « payer les victimes ne devrait pas être fait dans la plupart des cas. Cela doit être la responsabilité de chacun. »

« Personnes besoin faire attention à leur propre sécurité », a déclaré Mulligan Décrypter. « Quatre-vingt-dix-neuf pour cent des escroqueries sont dues au fait que les gens ne font pas attention et essaient de faire quelque chose sans réfléchir. »

Artiste NFT DeeKay tweeté la semaine dernière qu’il avait « lancé un processus pour essayer d’indemniser » les utilisateurs touchés par le lien frauduleux partagé à partir de son compte piraté, mais qu’il avait également exprimé son malaise face à l’idée.

« Si je suis honnête, je ne sais pas si le remboursement est la voie à suivre depuis [a] peu font semblant d’être affectés et recherchent des opportunités », a-t-il écrit. « Cela encourage également les pirates à continuer à faire leur truc puisque c’est moi qui couvre le désordre. »

« Une partie de moi dit que le remboursement ne devrait pas être un moyen standard de réagir, et une autre partie de moi dit que je devrais toujours trouver un moyen de compenser et de trouver un équilibre », a ajouté DeeKay. « Il n’y a pas de bonne réponse. »

« L’attente devrait être nulle »

Zeneca a adopté une position plus ferme dans sa propre réponse à son compte Twitter compromis. Dans un fil post-mortem partagé dans les tweets et recueillis dans un article de blog intitulé « Evolving Precedents », Zeneca a déclaré qu’il avait activé l’autorisation à deux facteurs sur Twitter et qu’il cherchait toujours à comprendre comment le piratage s’était produit, mais qu’il ne prévoyait pas de rembourser les utilisateurs concernés.

« Quelque part en cours de route, les projets ont décidé que leur réponse serait d’assumer l’entière responsabilité et de rembourser intégralement les victimes pour leurs pertes », a-t-il écrit. « Je comprends et sympathise avec cette réponse. »

Mais ensuite, il a écrit qu’il n’était « pas viable » pour les projets de continuer à le faire, et qu’il était « peu pratique » de trier les victimes présumées. « La responsabilité et la responsabilité incombent à chaque participant individuel dans cet espace », a-t-il ajouté, notant que de nombreuses personnes sont habituées aux « filets de sécurité » dans la société, comme demander l’aide des banques centralisées et des services financiers au milieu des escroqueries.

« C’est avec tout cela à l’esprit que je fais un choix difficile, mais je pense juste et ferme, de ne pas indemniser de manière significative ceux qui ont perdu des actifs en raison des événements survenus depuis l’attaque d’hier », a-t-il écrit. «Je suis vraiment, vraiment, vraiment désolé pour toutes les personnes touchées. Cela me fait profondément souffrir et m’attriste lorsque je parle et que j’entends les histoires des personnes touchées.

Zeneca fournira un laissez-passer d’accès NFT gratuit à son serveur ZenAcademy Discord privé aux utilisateurs concernés, qui est actuellement vaut environ 0,38 ETH (580 $) à l’heure actuelle, par OpenSea. Il conservera également une liste des victimes pour de futures prestations ou assistance potentielles, mais a noté que « l’attente devrait être nulle » pour qu’elles reçoivent quoi que ce soit d’autre.

Réactions à Le fil de Zeneca d’autres créateurs et collectionneurs de NFT ont été largement – mais pas complètement – positifs, les crypto-irréductibles célébrant l’éthique de la responsabilité personnelle. Il traite l’auto-garde et DYOR (« faites vos propres recherches ») comme les normes dans un espace qui est inondé de nouveaux utilisateurs qui peuvent ne pas bien comprendre la technologie ou repérer les drapeaux rouges.

Il est encore relativement tôt pour les marchés NFT à grande échelle. L’éducation peut aider à atténuer l’impact des escroqueries et à mieux préparer les commerçants NFT à rester vigilants, mais il en va de même pour les améliorations apportées à la technologie et aux interfaces utilisateur. Mulligan et Zeneca ont tous deux souligné la nécessité d’une infrastructure améliorée et d’atténuations pour limiter l’impact des attaques.

« L’interface utilisateur des portefeuilles les plus populaires doit être considérablement améliorée pour qu’il soit presque impossible pour quelqu’un de se connecter à un égouttoir de portefeuille », a déclaré Mulligan. Décrypter. « C’est un problème qui peut être résolu, mais c’est fou qu’il soit si facile de vider un portefeuille et qu’il n’y ait plus d’avertissements en place pour protéger les gens. »

L’éducation, les ajustements technologiques et les mises à niveau de sécurité pourraient aider à combler cet écart, mais en attendant, la FOMO (« peur de manquer ») et la frénésie spéculative transforment certains collectionneurs de NFT en victimes. Et les créateurs semblent de moins en moins disposés à payer la facture.

Vous voulez être un expert en crypto? Obtenez le meilleur de Decrypt directement dans votre boîte de réception.

Obtenez les plus grandes actualités cryptographiques + des résumés hebdomadaires et plus encore !



Laisser un commentaire