Quando Ocean’s 11 encontra blockchain

Quanto um ladrão de arte ousado cobraria pela Mona Lisa? Bem, cerca de um século atrás, um certo cavalheiro exigiu cerca de US $ 100.000 para a pintura, um valor muito abaixo das estimativas de preço na época. Roubar a pintura generation tão fácil quanto se esconder no armário por uma noite e sair com Mona Lisa no dia seguinte. Ser preso também generation moleza, bastava uma única reunião com possíveis compradores.

O drama da Mona Lisa ilustra um problema com o qual os ladrões de arte lutam há muito pace. A maioria dos museus possui dezenas de objetos valiosos que tendem a ser relativamente fáceis de movimentar ou armazenar. Ao mesmo pace, essas instalações geralmente não podem arcar com medidas de segurança de alto nível. Em teoria, isso os torna um alvo perfeito para ladrões, mas os ladrões que tentam na prática geralmente lutam para transformar seu saque em dinheiro vivo — a menos que tenham um acordo com um comprador específico antes do roubo. Caso contrário, a arte que eles roubam pode acabar presa no porão de seu Evil Lair nos próximos anos.

A título de exemplo, a italiana Cosa Nostra levou 14 anos para se livrar de duas pinturas famosas de Van Gogh que roubaram em 2002. E “livrar-se” neste caso significa tê-las apreendido pela polícia anti-máfia, que dificilmente é o resultado que eles esperavam em primeiro lugar. Na mesma linha, um ladrão que roubou um Picasso único da Galeria Nacional da Grécia em 2012 o manteve escondido para cerca de nove anos antes de ser, novamente, apreendido pela polícia. E há muitas outras histórias assim.

Ainda assim, os ladrões nunca deixarão de ir atrás da arte porque vale dinheiro – muitas vezes muito dinheiro. Em 2021, surge um novo mundo da arte: as casas de leilões estão agora brincando com NFTse as celebridades exibindo suas fotos de macaco um para o outro. Tokens não fungíveis compunham um mercado de US$ 25 bilhões durante o ano passado. E onde o dinheiro vai, os ladrões seguem.

Um conto de nove macacos roubados

Na verdade, os cibercriminosos já estão explorando este novo espaçoroubando NFTs desde colecionadores e entusiastas até engenharia social e vulnerabilidades em marketplaces. Um desses roubos viu três macacos entediados supostamente roubado do treinador de desenvolvimento Calvin Becerra, que tinha três grandes mercados NFT lista negra dos macacos roubados, impossibilitando que hackers os coloquem à venda em suas plataformas. Não demorou muito para o OpenSea fazer o mesmo para outro lote de macacos roubados.

Agora, vamos fazer um rápido blockchain investigando e dê uma olhada em um suposto roubo de NFT recente. Em 1º de fevereiro, o colecionador da NFT Larry Lawliet relatou perdendo vários NFTs valiososincluindo macacos entediados e mutantes, em uma suspeita ataque de engenharia social. Uma rápida olhada A carteira do Larry revela uma sequência rápida de transferências NFT para um endereço começando com 0xd27 (o suposto hacker) no ultimate de 31 de janeiro. Aqui está o que aconteceu com os macacos a seguir, no momento da redação do artigo:

• Macaco Entediado #1606: vendido por 0xd27 para 136 WETH (envolvido Ether) no OpenSea para um endereço começando com 0x366. Em 5 de fevereiro, a carteira vendido o NFT de volta para Larry na troca descentralizada LooksRare NFT por aproximadamente a mesma quantia em WETH.

• Macaco Entediado #4250: vendido por 100 ETH no OpenSea para 0x1b5, que em cerca de seis horas vendido para 111 ETH para um endereço começando com 0xa25 até LooksRare. No momento da redação do artigo, o token ainda está nessa carteira.

• Macaco Entediado #7985: vendido para 0xc9d a 100 ETH através do OpenSea. Em 4 de fevereiro de 0xc9d vendido para 0x840 no LooksRare por mais de 140 WETH, sem mais atividade no momento.

• Macaco Mutante #25971: vendido para 0x3ea para 30.01 WETH no OpenSea. Não muito depois, 0x3ea revendido o token de volta para Larry por pouco mais de 30 WETH através do LooksRare.

• Macaco Mutante #8464: vendido para 0x3ea para 30,1 WETH no OpenSea. Em 4 de fevereiro, o endereço vendido o token de volta para Larry por mais de 33 WETH na LooksRare.

• Macaco Mutante #2499: vendido por 25 ETH para 0xa2a embora LooksRare. Então, em 2 de fevereiro, o novo proprietário revendido o token para 0xd9c a 20,8 WETH na mesma plataforma. Em poucas horas, o novo proprietário vendido o token para Larry por 20,9 ETH usando BatchSwap.

Tenha em mente que o hacker, 0xd27, vendeu a maioria dos tokens brand Mar aberto, uma das maiores plataformas NFT centralizadas, minutos após o suposto hack e antes de Larry postar seu tweet. Mesmo depois que a plataforma sinalizou os tokens roubados, eles continuaram a mudar de mãos, principalmente por meio do mercado descentralizado LooksRare.

Mas há uma ressalva aqui. A blockchain não se importa com quem segura a carteira, então é possível vender algo para você mesmo se você tiver duas ou mais carteiras. Portanto, toda a situação pode ter sido um caso de negociação de lavagem, saltando NFTs entre carteiras controladas pela mesma entidade para aumentar seu valor percebido. Nesse caso específico, o suposto comerciante de lavagem teria que manter moedas suficientes em suas múltiplas carteiras para efetuar os pagamentos em cada transferência. Eles também incorreriam em pesadas perdas nas taxas de plataforma e gás.

Dito isto, salvo prova em contrário, também podemos considerar a situação pelo valor nominal e assumir que os endereços acima foram controlados por pessoas diferentes. Nesse caso, o roubo claramente funcionou a desire do invasor, pois eles conseguiram vender os bens roubados minutos literais após o golpe. A vítima, por outro lado, só conseguiu recuperar cinco dos macacos desaparecidos, incorrendo em enormes perdas extras para pagar seu retorno.

Muito técnico para pegar

Seja qual for a maneira que você preferir interpretar o exemplo acima, ele ainda destaca alguns dos recursos que diferenciam os roubos de NFT de seus roubos de arte comuns. Primeiro, a logística é extremamente rápida, e um invasor experiente pode vender o saque antes que a vítima saiba do roubo. Em segundo lugar, mesmo que as principais exchanges centralizadas proíbam as listagens de ativos roubados, sempre há outra plataforma para a qual recorrer. Terceiro, mesmo supondo que todos os mercados existentes sinalizem o NFT roubado, você ainda pode vendê-lo peer-to-peer se encontrar um comprador.

Além disso, um criminoso que queira lucrar com a arte roubada da NFT tem mais opções do que uma simples venda. Eles podem apostar seus NFTs em plataformas de rendimento, entregando-os efetivamente a um contrato inteligente em troca de recompensas com base na raridade. Isso elimina a necessidade de um comprador como tal. Da mesma forma, com NFTs de jogos, como Axies da Axie Infinity, eles podem optar por alugá-los para novos jogadores que desejam pular o investimento necessário para começar a jogar, assim como o standard “Bolsa de estudo” programas.

Não há apreensão dos bens roubados, a menos que alguém consiga as chaves privadas do ladrão. Como os NFTs ficam no blockchain, um livro-razão descentralizado imutável, uma vez que a transação que transfer a propriedade de uma carteira para outra está na cadeia, você não pode revertê-la sem bifurcar toda a cadeia.

Um mecanismo de propagação de relatórios sobre roubos em mercados e plataformas de rendimento, centralizados ou não, poderia ajudar a frustrar as tentativas dos ladrões de vender NFTs roubados. Os mercados que o usam sinalizariam os NFTs roubados, tornando mais difícil para um hacker vender o saque. Na prática, esse próprio sistema teria desafios a serem superados, como a perspectiva de relatórios maliciosos sinalizando transferências e transações legítimas e a necessidade de investigações oportunas em todos os supostos incidentes. Além disso, boa sorte em conseguir que todos participem e não se esqueça das vendas P2P.

Com cada vez mais hype em torno deles, os NFTs se transformam em ativos lucrativos para os hackers perseguirem. Isso significa que colecionadores e marketplaces devem prestar mais atenção às suas defesas, seja para vigilância geral, reforço de seu back-end ou desenvolvimento de seus próprios serviços de custódia com base na infraestrutura de ponta. A segurança não pode ser uma reflexão tardia, e todas as partes interessadas no espaço NFT devem confiar apenas nas melhores soluções e práticas em campo.

Lior Lamesh é cofundador e CEO da GK8.