Rambler's Top100
Статьи
Николай НОСОВ  19 ноября 2021

Хакеры, киберпанк и взлом NFT

Использование блокчейна для охраны авторских прав не гарантия от хищения цифровых объектов. Чтобы обеспечить их безопасность, следует обратить внимание на корректность смарт-контрактов.

Защита собственности в виртуальном мире

Виртуальный мир становится для людей не менее, а порой более важным, чем реальный. Об этом задумался Марк Цукерберг, анонсировавший строительство цифровой вселенной Meta на базе Facebook, WhatsApp и Instagram. Об этом же давно говорили классики киберпанка от Нила Стивенсона, чей культовый роман «Лавина» вдохновил на смелый проект создателя Facebook, до Уильяма Гибсона («Нейромант») и Брюса Стерлинга («Схизматрица»). В виртуальный мир выходили герои романа Сергея Лукьяненко «Лабиринт отражений» и «iPhuck 10»  постмодерниста Виктора Пелевина. Для героев метавселенной OASIS в фильме Стивена Спилберга «Первому игроку приготовиться» виртуальные вещи важнее, чем реальные, да и жизнь там ярче и интереснее, чем в трущобах унылой действительности.

Виртуальный мир требует новых подходов к защите авторских прав и цифровой собственности. Цифровое произведение легко скопировать, немного модифицировать и выдать за свое. Или подделать с помощью искусственного интеллекта, как поступала героиня романа Виктора Пелевина искусствовед Маруха Чо.

На помощь приходит блокчейн – технология, обеспечивающая доверие в цифровой среде. Цифровой объект – не только произведение цифрового искусства, но и магический предмет, здание, земля или планета в цифровой метавселенной – это набор символов, от которых можно взять хеш-функцию и разместить в цепочке блоков. Затем можно получить уникальный цифровой сертификат – невзаимозаменяемый токен (non-fungible token, NFT), который хранится в блокчейне, гарантирует оригинальность предмета и дает эксклюзивные права на него. Авторские права подтверждаются записью в блокчейне, которую люди и машины могут посмотреть и проверить.

NFT позволяют художникам компьютерной графики продавать свои произведения даже проще, чем классическим художникам картины. Есть используемая для хранения цифровых объектов децентрализованная сеть обмена файлами, носящая название «межпланетная файловая система» (interplanetary file system, IPFS). Туда авторы могут за деньги помещать свои произведения на «вечное» хранение. Сертификат объекта (произведения) с его хешем хранится в блокчейне. Покупая NFT, пользователь покупает сертификат на произведение. При этом само оно никуда не перемещается, а остается в IPFS. Зато его копию, подтвержденную сертификатом, можно, например, вывести дома на цифровую панель – показать гостям и похвастаться обладанием ценной вещью, причем с правами, подтвержденными NFT. 
 Beeple. «Ежедневно: первые 5000 дней»

Цифровой объект становится цифровым финансовым активом, который можно покупать и продавать. И сделки уже совершаются. Так, в марте 2021 года на аукционе Christie’s за $60,3 млн продали NFT картины «Ежедневно: первые 5000 дней». Ее создатель – художник Майк Винкельман, известный под псевдонимом Beeple. Произведение представляет собой коллаж из тысяч работ Винкельмана, опубликованных в интернете с 2007 года.

NFT можно попробовать использовать для защиты авторских прав. Если пираты немного модифицируют объект, например подправят цвет некоторых пикселей, и выдадут произведение за свое, то авторство, ссылаясь на NFT, можно будет доказать в суде. Во всяком случае в теории, информацию о реальных судебных делах найти не удалось.

Да и сама стоимость произведения во многом определяется именем автора. Попробуйте продать в подземном переходе украденную в Лувре «Мону Лизу». Дадут копейки, и не потому, что краденая, а потому, что не поверят в авторство Леонардо да Винчи.

Атака на галерею

Как и любой другой имеющий ценность предмет, токен могут украсть. Прецеденты были. Например, июне 2021 года украли два криптопанка – 8-битовых цифровых портрета размером 24 × 24 пикселя, выполненных стиле поп-арт, – и продали их за 6 ETH. В другом случае хакер, используя уязвимости в смарт-контракте, смог получить NFT редкого объекта и продать его за 200 ETH (примерно $800 тыс.).

На новые угрозы обратили внимание на прошедших недавно киберучениях Standoff, организованных компанией Positive Technologies. В этом году хакеры атаковали не только объекты инфраструктуры виртуального города F, размещенные на онлайн-платформе Standoff365, но и цифровую галерею The Standoff Digital Art, где выставлялись защищенные NFT картины современных цифровых художников.
Модель атакуемого города

Атаки были направлены не на сам блокчейн Ethereum, а на смарт-контракты – более легкую цель, если вспомнить об ошибках  в коде и крахе  проекта The Dao. Задачу хакерам облегчили организаторы, встроившие в написанные на языке Solidity смарт-контракты часто встречающиеся ошибки. В результате четыре картины из шести были украдены в течение первого часа, не многим дольше продержались и оставшиеся две.

Технология блокчейна не подразумевает возможности отката транзакций. В случае биткоина таких ситуаций не было, в блокчейне Ethereum была всего одна – после успешной атаки на The Dao. Откат поддержали не все держатели нод, что привело к разделению блокчейна на Ethereum и Ethereum Classic. Так что деньги за украденный NFT-объект вернуть не удастся, если только такая возможность не была прописана в смарт-контракте. С другой стороны, и вывести средства стало сложно – криптобиржи начали запрашивать подробные персональные данные о своих пользователях. Кроме того, транзакции мошенника видны в блокчейне, и цепочку до украденной картины можно проследить. Придется искать сомнительные организации, рискующие обналичивать криптовалюту, полученную преступным путем. 
 
«NFT – это токен, который создается по определенным стандартам, – пояснил руководитель отдела исследований по защите приложений Positive Technologies Арсений Реутов. – Но стандарты лишь предписывают, что должно быть в смарт-контракте. Сам код не регламентируется – отсюда и возникают проблемы. Конечно, есть библиотеки, в которых уже все реализовано и протестировано, но ничто не мешает изменять этот код или добавлять свой. Как правило, именно в этом причина всех уязвимостей».
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!