Zajímavé praktiky hackerů používané při útoku na NFT a DeFi protokoly

Přestože NFT si svou největší slávu zřejmě již užily, stále jsou některé z nich velmi hodnotné. Někteří kryptoměnoví fanoušci je označují pouze za předražené obrázky, jiní ale oceňují doložitelné vlastnictví prostřednictvím blockchainu. Stále se tedy najdou kupci, kteří si chtějí koupit originální obrázky s vlastnictvím potvrzeným na blockchainu. Důkazem toho může být například kolekce NFT vydaná bývalým prezidentem Donaldem Trumpem. Ty představují jeho osobu v nejrůznějších rolích a prodaly se za více než jeden milion dolarů. Právě vysoká cena dělá z NFT zajímavý cíl pro hackery, kteří je mohou dobře zpeněžit. Níže uvádíme několik způsobů, jak se hackeři mohou zmocnit vašich NFT obrázků a prostředků na DeFi protokolech a blockchainech.

Podvodný smart kontrakt

Programování podvodného smart kontraktu si žádá pokročilé znalosti blockchainových technologií, zdatnější hackeři ale dokáží připravit řadu podvodných smart kontraktů. Nejčastěji se jedná o útok na jiné zranitelné smart kontrakty, které útočník upraví tak, aby například vyvedl NFT na jeho vlastní adresu. Uživatel pak v přesvědčení, že interaguje například s marketem, použije smart kontrakt, který mu NFT odcizí. Použít smart kontrakty ale lze i opačně a hackeři mohou nabízet koupi drahých NFT, které ale budou falešné. Nezkušený nakupující nebude schopen rozpoznat upravený smart kontrakt a může snadno koupit NFT, které zdaleka nemá avizovanou cenu.

Phishingový útok

Phishingové útoky jsou častým způsobem, jak hackeři kradou NFT a další kryptoměnová aktiva. V tomto případě ale musí uživatel kliknout na podvodný odkaz. Phishingové zprávy často chodí přes Telegram, Discord, Twitter nebo e-mail. Tyto zprávy obsahují odkazy, které mohou nepozorného uživatele připravit o jeho NFT a kryptoměny. Uživatel si prostřednictvím těchto odkazů může nevědomky nainstalovat malware nebo navštívit podvodnou stránku, která bude nabízet prodej falešných NFT. Pokud uživatel například propojí peněženku se službou, mohou být kompromitovány jeho privátní klíče. Pomocí těch pak útočník může manipulovat s NFT a zpeněžit je. 

Krádež privátních klíčů

V návaznosti na předchozí typ útoku uvedeme ještě krádež privátních klíčů. Jedná se o samostatnou kategorii v bezpečnosti kryptoměn a NFT. Na blockchainu se privátní klíče používají k podepisování transakcí a převod prostředků na jiné účty. Pokud jsou privátní klíče kompromitovány, může útočník vykrást úplně celou peněženku. Je proto nesmírně důležité, aby uživatelé drželi své privátní klíče bezpečně uložené. Nejlepším způsobem, jak ochránit privátní klíče je používání hardwarové peněženky. Ty softwarové mohou být náchylné na útoky a krádež privátních klíčů.

Útok na software třetí strany

Dále musíme zmínit jeden z nejčastějších typů útoků v DeFi prostředí. Jedná se o zneužití zranitelnosti softwaru třetí strany. Typicky se může jednat o roboty nakupující na burze, smart kontrakt propojující dva různé blockchainy nebo softwarovou peněženku. Ve všech těchto případech získá útočník kontrolu nad softwarem a s jeho pomocí získá přístup ke všem kryptoměnám a NFT uživatelů. Může se jednat o peněženku, která nemá nic společného s vývojáři blockchainu. Jejím prostřednictvím se ale útočník dostane k prostředkům uživatelů.

Front-running

Při tomto typu útoku využívají hackeři toho, že jsou nepotvrzené transakce uloženy ve veřejných mempoolech, kde čekají na zařazení do bloku. Při útoku, který by se dal přeložit jako “předbíhání”, útočník prohlíží tyto mempooly a vytváří konkurenční verze čekajících transakcí. Za zkopírované transakce zaplatí vyšší poplatek a jeho transakce se tak dostane k validátorům jako první. Díky tomu může předběhnout původního kupujícího a ukrást mu NFT přímo před nosem. Přestože se nejedná o krádež přímo z peněženky, i zde se jedná o podvod. Tento typ útoku totiž může negativně ovlivnit cenu NFT. 

Padělání ID tokenů

Každé NFT má své jedinečné ID, které jej odlišuje od ostatních obrázků na internetu. Právě tyto jedinečné identifikátory mohou hackeři padělat, aby oklamali ostatní uživatele. Hacker takto nabídne falešné NFT, které je navrženo tak, aby vypadalo stejně jako některé z hodnotnějších NFT. Paděláním ID pak přesvědčí kupujícího, že se jedná o pravé NFT a vnutí mu naprosto bezcennou kopii. Přestože se může zdát, že byste jako zkušení uživatelé na takový podvod neskočili, často si všimnete chyby až je příliš pozdě.

Man in the Middle

V tomto případě se jedná o nejběžnější techniku hackerů ve filmech. Nabourání nezašifrované komunikace mezi uživatelem a webovou stránkou. V případě, že je komunikace nešifrovaná, může útočník číst všechna data a případně je také měnit. V ideálním případě z komunikace získá privátní klíče uživatele, typicky pokud například probíhá nějaká transakce ze strany uživatele, a následně může vykrást celou peněženku. Dnes už je ale šifrovaná komunikace zcela běžná a ukrást takto údaje není snadné, pokud neudělá chybu samotný uživatel. 

Krádež zaměstnanci burzy

V tomto případě se nejedná úplně o hackera, přestože musí útočník mít dostatečné znalosti. Bez nich by totiž nebyl schopen získat privátní klíče uživatelů jejich aplikace. Případně může tento zaměstnanec vyvinout  psychický nátlak na některého uživatele a získat od něj citlivá data na základě předstírané autority. V každém případě může poté tento zaměstnanec manipulovat s prostředky i tisíce uživatelů. Naprostá většina burz ale má kontrolní mechanismy, které zabraňují interní manipulaci s daty. Nesmí se ale jednat o burzu, která záměrně taková zadní vrátka vytváří, jak tomu bylo například s burzou FTX

5/5 - (1 vote)

Komentáře (0)

Zatím nebyly přidány žádné komentáře.

Připojte se k diskuzi

Zde napište svou odpověď
Vaše jméno
Váš e-mail
Odeslaním komentáře souhlasíte se zpracováním osobních údajů.

Buďte v obraze a
nenechte si ujít novinky z krypto-světa.

Relevantní články, dvakrát měsíčně do vaší emailové schránky.

Váš e-mail
Ukládám..
Odesláním souhlasíte se zpracováním osobních údajů.