در بازارهای مالی هر زمینه ای که رشد چشمگیری داشته باشد و هرجایی که پای پول هنگفت در میان باشد راه برای ورود کلاهبرداران باز می شود. همانطور که می دانید سال 2021 سال توکن های غیر قابل تعویض یا NFT بود. همزمان با رشد این دارایی های دیجیتال، هکرها و کلاهبردارانی با درنظرگرفتن باگ ها و گپ های موجود در قراردادهای هوشمند؛ توانستند به اطلاعات مربوط به توکنهای کمیاب پیش از آگاهی عموم دست پیدا کرده و دارندگان آن ها را متحمل ضررهای هنگفتی نمایند. یکی از این روش های کلاهبرداری اسلیپ مینتینگ (Sleep Minting) است که در ادامه این مطلب در مورد این روش صحبت می کنیم. به طور خلاصه باید گفت اسلیپ مینتینگ به دلیل نقص ساختاری در قراردادهای هوشمند اتفاق میافتد که باعث میشود تراکنشها در بلاک چین، قانونی به نظر برسند، دقیقاً مثل اینکه هنرمند آنها را ساخته است اما ناآگاهانه.
اسلیپ مینتینگ (Sleep Minting)
NFT ها در سال گذشته (2021) شاهد رشد انفجاری بوده اند. تنها در ماه آگوست، بازار توکن های غیر قابل تعویض OpenSea بیش از 3.4 میلیارد دلار تراکنش ثبت کرد. با افزایش محبوبیت NFT ها، هکرها و کلاهبرداران راه های خلاقانه تری به منظور بهره برداری از حفره های امنیتی برای منافع خود پیدا کرده اند. مسائلی مانند اسلیپ مینتینگ، هویت اشتباه (mistaken identity)، هک وب سایت و محتوای تکراری، همگی به آنچه برخی به عنوان بازار«غرب وحشی» NFT می شناسند، کمک کرده و اعتماد بین خریداران و فروشندگان را از بین برده است.
NFT ها (مخفف Non-Fungible Token) دارایی های دیجیتال منحصر به فردی هستند که در بلاک چین ها وجود دارند. ایجاد یک NFT به معنای ثبت اثر هنری در بلاک چین و واگذاری مالکیت آن فایل به یک کاربر خاص بوده و تبدیل به لینک اولیه در یک زنجیره حفاظتی است که به طور عمومی تأیید شده و بدون دستکاری است. در تئوری، از آنجایی که این زنجیره ی مالکیت تغییرناپذیر است (نمیتوان آن را تغییر داد یا لغو کرد) خریداران میتوانند به NFT ها اعتماد کنند بدون اینکه لزوماً مانند بازارهای سنتی به سازندگان یا فروشندگان خود اعتماد کنند.
در حالی که در موضوع NFT ها که برای حل مسائل رایج در بازار هنر جهانی، به ویژه مسائل مربوط به سرقت هویت و کلاهبرداری ایجاد شدند. تبلیغات و هکهای اخیر به ما نشان میدهد که حتی فناوری های به ظاهر بیخطر هم نمیتواند از دست کلاهبرداران ماهر در فناوری بگریزد.
SleepMinting زمانی است که کلاهبرداری یک NFT را مستقیماً به کیف پول سازنده معروف با اجازه بازپس گیری یا بیرون کشیدن NFT از کیف پول سازنده ضرب یا مینت میکند. این کار ظاهرا این معنا را می دهد که یک خالق به طور واقعی یک NFT را برای خود ضرب کرده است و سپس آن NFT را برای یک کلاهبردار ارسال می کند. در این روش کلاهبردار میتواند ادعا کند که دارای یک NFT است که توسط یک خالق معروف ساخته شده است و آن را به قیمت بالاتری بفروشد.
فریب Sleep Minting از این واقعیت ناشی می شود که شما می توانید هر قطعه داده ای را در یک گزارش رویداد منتشر کنید. انتظار می رود که اگر تراکنشی را برای انتقال یک NFT ارسال می کنید، آدرس شما باید در گزارش رویداد به عنوان فیلد «از، from» باشد. با این حال، زمانی که یک کلاهبردار یک توکن Sleep Minting را از یک خالق مشهور پس بگیرد، اینطور نیست. یک کلاهبردار می تواند به طور مصنوعی آدرس خالق معروف را در قسمت "از" یک رویداد انتقال قرار دهد.
به یاد داشته باشید، "ضرب کردن یا Minting" یک NFT به معنای ثبت یک کاربر خاص به عنوان خالق و مالک اولیه آن است و همانطور که گفته شد از نظر تئوری، این اولین پیوند در یک زنجیره تایید شده و ناگسستنی است که به یک NFT برای طول عمر شبکه بلاکچین زیربنایی متصل است. به لطف این گزارش (از داده های کاملاً کامل، کاملاً ایمن و قابل بررسی همیشگی)، خریداران بالقوه می توانند بدون نیاز به اعتماد به صاحبان یا فروشندگان به توکن های غیرقابل تعویض اعتماد کنند. این ویژگیها، لایهای ارزشمند از امنیت را اضافه میکنند که آثار هنری سنتی هرگز نمیتوانند با گواهیهای اصالت و اسنادی با منشأ غیر زنجیرهای مشکوک رقابت کنند.
کلاهبرداری به روش Sleepminting هکر را قادر میسازد تا NFTها را برای کیف پولهای رمزنگاری هنرمندان دیگر ضرب کند، سپس مالکیت را بدون رضایت یا مشارکت آنها به خود بازگرداند. با این وجود، هر یک از این تراکنشها بهعنوان تراکنش مشروع در سابقه بلاک چین به نظر میرسد و به گونه ای است که هنرمند ناآگاه آنها را به تنهایی آغاز کرده است و چشمانداز کلاهبرداری پیچیده را در مقیاس انبوه باز میکند.
شاید مطلب کمی گیج کننده به نظر برسد اما اسلیپ مینتینگ (Sleep Minting) به زبان ساده یعنی روشی که در آن کلاهبرداری با مخفی کردن منشا اصلی اثر، مخاطبان کم دقت را فریب می دهد.
روش کار در اسلیپ مینتینگ
در این روش، کلاهبردار در مرحله اول توکن NFT را به آدرس کیف پول یک هنرمند یا خالق مشهور ضرب می کند اما اجازه مرجوعی و برگشت زدن این توکن را برای خود محفوظ نگه می دارد.
در مرحله بعد کلاهبردار یک تراکنش به منظور بازگشت این NFT از آدرس هنرمند ارسال کرده و با استفاده از فیلدهای دادههای event طوری وانمود می کند که فرستنده هنرمند یا خالق توکن است، درحالی که فرستنده نیز خود کلاهبردار است.
در این صورت کلاهبردار صاحب توکنی به ظاهر اصیل می شود که گمان می رود توسط سازنده یا هنرمندی مشهور خلق شده است و به نظر می رسد که خالق معروف به طور قانونی یک NFT را به کلاهبردار منتقل کرده است.
در مورد منشا اسلیپ مینتینگ باید گفت در مارس 2021 توکن غیرقابل تعویض «۵۰۰۰ روز اول» از بیپل (Beeple) به قیمت ۶۹ میلیون دلار به فروش رفت. مدت زمانی پس از فروش این توکن و در آوریل 2021، شخصی با نام مستعار آقای هیچ کس یا Monsieur Personne تلاش کرد تا بازار NFT را از طریق یک کلاهبرداری و جعل رمزارز معروف به روش «sleepminting» بیثبات کند. تکنیکی که به دنبال تضعیف یکی از گزاره های ارزشی کلیدی است که NFT ها ظاهراً بر آن می نازند: اصالت.
آقای هیچ کس نسخه ای جعلی از این اثر را ایجاد کرد و در پلتفرم رریبل (Rarible) قرار داد. به طوری که در نظر عموم این توکن توسط خود بیپل ضرب شده و سپس به فروش رفته باشد. حتی شناسه توکن نیز کاملا منطبق با اثر اصلی بود. آقای هیچ کس این کار را باهدف نشان دادن کاستی ها و باگ هایی در حوزه قراردادهای هوشمند و توکن های غیرقابل تعویض مبتنی بر این قراردادها انجام داد تا توجه عموم را به این موارد جلب کند. او معتقد است که «مسائل امنیتی و آسیبپذیریهای» عمده در قراردادهای هوشمند نادیده گرفته شده است تا راه را برای هجوم باز کند. چرا که یکی از دلایل اصلی برای اقبال استاندارد NFT، ثبت قابل اثبات بودن اصالت و منشا یک اثر عنوان شده است.
چگونه متوجه اسلیپ مینتینگ شویم؟
برای اینکه یک توکن بی همتا یا NFT را از یک توکن اسلیپ مینتینگ تشخیص دهیم می توانیم از بررسی تراکنش مینت در اتراسکن استفاده کنیم. به این دلیل که کلاهبردار و هکر در هیچ یک از مراحل امکان دسترسی به کلید خصوصی هنرمند را نداشته و درنتیجه نمی تواند تراکنشی را از جانب او آغاز کند.
با بررسی تراکنش در اتراسکن خواهید دید که آدرس From یا شروع کننده تراکنش با آدرسی که به آن انتقال صورت گرفته، متفاوت است یا خیر.
روش دیگری که می توانیم برای تشخیص اسلیپ مینتینگ بیان کنیم استفاده از ربات هایی است که توسط پلتفرم Forta نوشته شده و شما با ثبت نام در این سرویس می توانید از هشدارهایی که ربات های این پلتفرم درخصوص کلاهبرداری می دهند آگاه شوید.
راه دیگر توجه به وریفای بودن قرارداد هوشمند در اتراسکن است. کلاهبرداران قراردادهای خود را Verfiy نمیکنند.
جمع بندی
این مطلب درخصوص روشی از کلاهبرداری در توکن های ارزهای دیجیتال و به خصوص توکن های NFT است که به اسلیپ مینتینگ مشهور است. هکر در این روش تغییراتی را در قراردادهای هوشمند توکن مورد نظر ایجاد می کند، سپس آن توکن را به کیف پول خالق/هنرمند مشهوری می فرستد. این روش اینگونه به نظر می رسد که فرد هنرمند شخصا دست به مینت یا ضرب توکن غیر قابل تعویض (NFT) زده است. در مرحله بعد جاعل تراکنش را به آدرس خود فراخوانده و به این صورت هویتی جعلی به اثر میبخشد و می تواند توکن جعلی را با مبالغ بالا به فروش برساند. به همین سادگی.