Мошенничество в сфере NFT. Какие есть схемы и как защититься

Мошенничество или скам с криптовалютой, в том числе невзаимозаменяемыми токенами (NFT), становится все более изощренным. 12 июля пользователи децентрализованной биржи Uniswap подверглись фишинговой атаке, в результате которой потеряли порядка 4,6 млн долларов в ETH. На кошельки пользователей рассылали вредоносный токен, который предлагалось обменять на официальный токен биржи Uniswap (UNI). Однако после подтверждения транзакции токены с кошелька уходили злоумышленникам.

Массовый интерес к криптоиндустрии сделал сообщества популярных проектов уязвимыми для фишинговых атак. Одно скачивание файла может сделать вас жертвой злоумышленников. Согласно отчету исследовательской группы Top10VPN, мошенничество в NFT привело к убыткам в 52 млн долларов только за первые четыре месяца 2022 года по сравнению с менее чем 7 млн за весь 2021 год.

Виды мошенничества

Rug Pull — вид мошенничества, при котором разработчики бросают проект, не выполняют обещаний и забирают деньги инвесторов. Название происходит от фразы Pulling the rug out, что дословно переводится как «вытягивание ковра». По распространенной схеме разработчики выпускают и рекламируют коллекцию NFT и создают дорожную карту проекта, в которой описывают его дальнейшее развитие. После того, как инвесторы покупают NFT из коллекции, мошенники удаляют социальные сети и оставляют проект без поддержки, не выполняя обещанных задач. В результате инвесторы остаются с обесцененными токенами.

При создании скам-проектов привлекаются инфлюенсеры из криптосферы и медийные личности, которым платят за рекламу коллекций в соцсетях. Как правило устраиваются дорогостоящие розыгрыши и раздачи, чтобы вызвать ажиотаж вокруг проекта. Ярким примером стал популярный боксер Флойд Мейвезер, который рекламировал в своем Twitter такие проекты, как Ethereum Max, Bored Bunny, Moonshot. Запущенный уже от имени самого боксера проект Mayverse и собравший $200 000 на продаже NFT, также не получил никакого развития. Известный в сообществе Twitter-детектив @Zachxbt, выпустил расследование о каждом из скам-проектов Флойда и других знаменитостей.

Источник: Twitter.com

Также одним из громких скам-проектов стал Frosties, на котором злоумышленники заработали 1 млн долларов, по данным министерства Юстиции США (DoJ). Команда Frosties из двух человек пообещала инвесторам токены, вознаграждения и ранний доступ к будущей игре. Они исчезли вместе со средствами инвесторов после того как продали 9000 NFT из коллекции. Впоследствии мошенников нашли и завели против них уголовное дело.

Фишинг (Phishing) — вид мошенничества, с помощью которого хакеры получают доступ к данным пользователей. Это могут быть пароли, учетные записи и seed-фразы от кошельков. Злоумышленники используют вредоносные ссылки на поддельных сайтах, имитирующих страницы известных криптопроектов, или рассылают электронные письма от их имени. Распространенным стал способ создания фейковых сайтов для выпуска (минтинга, чеканки) NFT. Мошенники рассылают сообщения подписчикам соцсетей популярных коллекций от имени команды проекта. В рассылке предлагают заманчивые условия, например, скидку на покупку NFT со ссылкой на фишинговый сайт. В случае попытки минта NFT через вредоносный контракт жертва лишается своих средств на подключенном кошельке.

Одним из пострадавших от фишинговой атаки стал популярный NFT-художник Майк Винкельманн, известный как Beeple. 22 мая злоумышленники взломали его Twitter и разместили в серии твитов ссылки на минтинг фейковой коллекции совместных NFT с Louis Vuitton. Также они опубликовали «эксклюзивную» работу художника, про которую Beeple якобы не писал ранее. Хакерам удалось получить ETH на $438 000 от доверчивых подписчиков художника.

Pump & Dump — «накачать и сбросить», это манипулятивная схема повышения курса на NFT с последующим обвалом цены. Мошенники используют социальные сети, поддержку знаменитостей, а также ложную информацию, чтобы создать вокруг NFT ажиотаж и поднять цену токенов. Крупные владельцы активов искусственно повышают их стоимость («пампят»), чтобы впоследствии продать заинтересованным инвесторам. В результате стоимость актива снижается или обесценивается («дамп»), а инвесторы теряют средства.

Подробнее о схеме Pump & Dump можно узнать в статье GetBlock Magazine.

Еще одной знаменитостью, замеченной в рекламе мошеннических проектов, стал Логан Пол — актер и блогер с 23 миллионами подписчиков на YouTube-канале. Он рекламировал такие проекты, как Dink Doink NFT, Crypto Zoo, EMAX и Maveriсk. Логан рекламировал токены в своем Twitter-аккаунте, после чего они росли в цене, но в один момент стоимость резко падала.

Подделка коллекций — схема, при которой мошенники крадут работы известных художников. Их работы выставляют на крупных NFT-маркетплейсах. Покупатели ошибочно считают, что вкладывают деньги в оригинальное произведение искусства, хотя на самом деле это лишь подделка. Таким способом в апреле 2021 года мошенники продавали художественные работы умершей художницы Qinni, после чего ее брат написал в Twitter, что никто из ее семьи не причастен к этому. Еще одной жертвой стал концепт-художник, работавший над фильмом «Детектив Пикачу» — Р. Дж. Палмер. У него украли и выставили на продажу популярную работу с изображением покемона.

Чтобы обезопасить себя от поддельных NFT, стоит проверять официальные соцсети художников на наличие анонсов предстоящих продаж. Большинство известных торговых площадок уже ввели обязательную верификацию для авторов.

Инсайдерская торговля — схема, при которой у мошенника есть доступ к конфиденциальной информации, и он использует ее для обогащения. Это не распространенная схема, потому что для нее требуется доступ к эксклюзивной информации, которой владеет ограниченный круг лиц.

Такой информацией воспользовался бывший менеджер по продуктам платформы OpenSea Натаниэль Честейн. Он знал, какие NFT будут размещены на главной странице маркетплейса, и заранее скупал токены из коллекций, которые будут в центре внимания покупателей. Бывшему сотруднику удалось перепродать по такой схеме 45 NFT. Ему грозит до 20 лет лишения свободы.

На что обратить внимание при выборе NFT-проекта

Лучший способ не попадаться на уловки мошенников — тщательно изучить проект, прежде чем в него инвестировать. Изучайте команду проекта, ведь от нее зависит репутация коллекции. Как правило художники и создатели коллекций не скрывают личности, их легко проверить по социальным сетям, участники команды открыто общаются с сообществом. Если команда анонимная и никак не взаимодействует с пользователями, зачастую это говорит о возможном скаме проекта в будущем.

Стоит обратить внимание на качество разработки проекта. Начиная от сайта проекта, до оформления социальных сетей и самой коллекции. Если все детали выполнены профессионально, это повышает доверие к команде.

Одна из важных составляющих — дорожная карта проекта. В ней подробно описаны цели и стратегии для обеспечения долгосрочной ценности. Если дорожная карта выглядит слишком нереалистичной, это может быть признаком сомнительного проекта. Многообещающие дорожные карты часто используются в схемах Rug pull, чтобы привлечь внимание сообщества. Чтобы снизить риск потери средств, следует отдавать предпочтение дорожным картам с реальными целями, которые подробно описаны и распланированы.

В случае успешности проекта стоит смотреть на показатель ликвидности. Это свойство активов быть быстро проданными по цене, близкой к рыночной. Если у NFT-проекта низкая ликвидность, может быть трудно конвертировать токен в другой актив. Главный показатель ликвидности — это объем торгов. Высокий объем указывает на то, что коллекцией торгуют много заинтересованных пользователей, можно без проблем продать NFT на вторичном рынке.

Рекомендации по безопасности

Чтобы обезопасить токены, стоит тщательно проверять домен сайта, к которому подключается кошелек. Часто фишинговые сайты запрашивают подпись транзакции, которая переводит средства злоумышленникам. Нужно обращать внимание на то, от какого сайта идет запрос на подпись транзакции в кошельке. Если возникают сомнения в надежности сайта и он выглядит подозрительным, стоит отказаться и не одобрять перевод.

Фишинговые сайты под любым предлогом могут выманивать у жертв seed-фразу от кошелька. Стоит помнить, что ни один легитимный сайт никогда не запросит у вас фразу для восстановления кошелька, и делиться ей нельзя ни при каких обстоятельствах. Имея seed-фразу и используя специальное ПО, хакер может подобрать пароль к кошельку, что также приведет к его опустошению.

Прежде чем покупать NFT, стоит убедиться, что анонс и ссылки на маркетплейсы размещены в реальных аккаунтах создателей. При появлении в одном из аккаунтов заманчивой раздачи бесплатных токенов или предложения минтинга NFT со скидкой не помешает проверить другие социальные сети проекта. Возможно какой-то из источников был взломан, и об этом уже написали разработчики проекта.

С каждым днем сфера NFT развивается, появляется все больше новых проектов, поэтому важно остерегаться распространенных видов мошенничества и понимать как они устроены. NFT всегда влекут за собой определенный риск, но способность распознать потенциальную угрозу поможет снизить вероятность стать жертвой мошенничества и защитить свои активы.

Крупные маркетплейсы уже внедряют решения для защиты от плагиата, нарушений прав интеллектуальной собственности и мошенничества. При этом ответственность за сохранность средств всегда в первую очередь лежит на их владельце.