اسلیپ مینتینگ (Sleep Minting)؛ خطری بالقوه در کمین خریداران NFT

به نقل از ارز دیجیتال:

روش‌های کلاه‌برداری در دنیای ارزهای دیجیتال بسیار متنوع است و همگام با توسعه این فضا، بر تعداد آن نیز افزوده می‌شود. برخی از این تهدیدها به‌طورمشخص خریداران و دارندگان ارزهای دیجیتال را هدف قرار می‌دهند و برخی دیگر تلاش می‌کنند از مفاهیم نوپایی همچون توکن‌های غیرمثلی (NFT) سوءاستفاده کنند. روش اسلیپ مینتینگ (Sleep Minting) یکی از شیوه‌های جدید کلاه‌برداری در فضای بلاک چین و ارزهای دیجیتال محسوب می‌شود که قربانیان خود را در حوزه توکن‌های غیرمثلی پیدا می‌کند.

چنین کلاه‌برداری‌هایی می‌توانند با بی‌اعتمادکردن کاربران، بازار NFT را با مشکل‌های مختلفی مواجه کنند؛ به‌همین‌دلیل، کسب آگاهی بیشتر و آشنایی بهتر با چگونگی بررسی قراردادهای هوشمند و درنظرگرفتن مشکلات احتمالی می‌تواند کمک بزرگی به علاقه‌مندان به توکن‌های غیرمثلی کند.

در این مطلب، قصد داریم اسلیپ مینتینگ و چگونگی وقوع آن و تعدادی از نمونه‌های مهم این کلاه‌برداری را معرفی کنیم. همچنین، با بیان نحوه شناسایی این کلاه‌برداری و شیوه‌های مقابله با آن، به شما کمک می‌کنیم تا با افزایش آگاهی در دام این کلاه‌برداری‌ها نیفتید.

اسلیپ مینتینگ به زبان ساده

اسلیپ مینتینگ نوعی کلاه‌برداری در فضای توکن‌های غیرمثلی است که با جعل توکن انجام می‌شود. در این شیوه، کلاه‌بردار یک توکن غیرمثلی جعلی را به‌واسطه کیف پول سازنده‌ای مشهور ایجاد و هم‌زمان روشی برای بازیابی و برگرداندن توکن جعلی به کیف پول خود فراهم می‌کند. این شیوه از کلاه‌برداری از باگ‌ها و آسیب‌پذیری‌های قراردادهای هوشمند، خصوصاً در فضای توکن‌های غیرمثلی سوءاستفاده می‌کند و به‌‌طورمشخص روی مهم‌ترین ویژگی توکن‌های NFT، یعنی اصالتشان تأثیر می‌گذارد.

در سال ۲۰۲۱، حداقل ۲۷‌میلیارد دلار ارز دیجیتال به قراردادهای هوشمند توکن‌های غیرمثلی مبتنی‌بر اتریوم، یعنی‌ ERC721 و ERC1155، انتقال داده شد. جابه‌جایی این سرمایه هنگفت همراه با ظهور پروژه‌های پرطرفداری همچون «بورد ایپ یات کلاب» (BAYC) و «کریپتوپانک‌ها» (CryptoPunks) و «دودِل‌ها» (Doodles) نشان‌‌دهنده جذابیت این حوزه از ارزهای دیجیتال برای افراد در سرتاسر جهان است.

با‌این‌حال، نباید فراموش کنیم که جنون توکن‌های غیرمثلی می‌تواند تله بزرگی برای کاربران، به‌ویژه تازه‌واردها باشد. آنچه کار را برای انجام چنین کلاه‌برداری‌هایی آسان‌تر می‌کند، در‌حقیقت پیچیدگی کد قراردادهای هوشمند NFTهاست؛ ویژگی‌ای که اجازه نمی‌دهد این نوع هک‌ها به‌آسانی ردیابی شوند.

اسلیپ مینتینگ چگونه روی می‌دهد؟

کلاه‌بردار در اسلیپ مینتینگ ابتدا توکنی را از‌طریق آدرس کیف پول یکی از سازندگان مشهور NFT ایجاد می‌کند و سپس، آن را به کیف پول خود انتقال می‌دهد؛ درحالی‌که وانمود می‌کند سازنده خود این تراکنش را انجام داده است. در این روش، هکر قرارداد توکن غیرمثلی سفارشی‌شده‌ای مشابه سایر قراردادهای رایج در این فضا اجرا می‌کند؛ اما عمداً کار بررسی امنیتی آن را انجام نمی‌دهد. بدین‌ترتیب، هکر این تصور اشتباه را ایجاد می‌کند که به‌صورت قانونی توکن غیرمثلی ارزشمندی را از سازنده‌ای معتبر دریافت کرده است.

این در حالی است که هنرمند اصلی که توکن با نام او ایجاد شده است، اطلاعی از این اتفاق ندارد. درواقع، در این روش کلاه‌بردار کد مخربی را با کد اصلی قرارداد توکن ترکیب می‌کند تا بتواند توکن جعلی را بدون نیاز به دریافت مجوز از کیف پول سازنده به کیف پول خود ارسال کند. بدین‌ترتیب، هکر توکن جعلی را بدون نیاز به دریافت مجوز از کیف پول سازنده به کیف پول خود ارسال می‌کند و سپس، آن را در قالب توکنی معتبر در بازار ثانویه‌ای همچون اوپن‌سی (OpenSea) یا لوکس‌ریر (LooksRare) می‌فروشد.

نمونه‌ای از اسلیپ مینتینگ

برای درک بهتر چگونگی انجام این کلاه‌برداری، بهتر است اولین نمونه آن را با‌هم بررسی کنیم. در ۴آوریل۲۰۲۱، هکری ناشناس با نام مستعار موسیو پِرسون (Monsieur Personne) که به‌فرانسوی به‌معنای «آقای هیچ‌کس» است، موفق شد اولین اسلیپ مینتینگ NFT را انجام دهد. در این کلاه‌برداری، هکر «نسخه دوم» اثر هنری «هرروز: اولین ۵,۰۰۰ روز» (Everydays: The First ۵,۰۰۰ Days) اثر بیپل را ایجاد کرد. گفتنی است ارزش نسخه اصلی این اثر ۶۹.۳میلیون دلار است.

بیشتر بخوانید: گران‌ترین NFTهای دنیا را بشناسید

هکر در این اقدام روی تصویر JPEG اثر کلیک‌راست نکرد تا آن را به نام خود ذخیره کند. درعوض، نسخه دوم و جعلی این اثر را با سوءاستفاده از کیف پول بیپل ایجاد کرد و سپس، آن را به کیف پول خود انتقال داد. در‌حقیقت، کلاه‌بردار دو تراکنش مخرب برای این کار انجام می‌دهد: ۱. توکن را به‌صورت جعلی ایجاد می‌کند؛ ۲. آن را به حساب خود انتقال می‌دهد. این تراکنش‌ها را فقط درصورتی می‌توان انجام داد که امضایی معتبر بین دو طرف ایجاد شود.

قرارداد جعلی موسیو پِرسون به‌گونه‌ای نوشته شده بود که به این بررسی امنیتی، یعنی امضای طرفین روی بلاک چین نیازی نداشت. بدین‌ترتیب، هکر توکن را در‌اختیار گرفت تا آن را در بازار ثانویه بفروشد یا به کیف پول دیگری ارسال کند و سود حاصل از فروش آن را به جیب بزند.

چرا اسلیپ مینتینگ برای بازار خطرناک است؟

ارزش اصلی توکن‌های غیرمثلی منحصربه‌فرد‌بودن خالق آن‌هاست. اسلیپ مینتینگ می‌تواند این اعتبار توکن‌های غیرمثلی را خدشه‌دار کند. درصورتی‌که این توکن‌های یگانه را بتوان به‌راحتی جعل کرد و فروخت، هیچ هدف و ارزشی برای آن‌ها باقی نمی‌ماند. درواقع، اسلیپ مینتینگ تهدیدی برای اصالت بازار توکن‌های NFT به‌شمار می‌رود و می‌تواند جذب سرمایه و سرمایه‌گذار به این بازار را کاهش چشمگیری دهد.

علاوه‌بر‌این، بزرگ‌ترین هدف کلاه‌بردارهای اسلیپ مینتینگ سازندگان برجسته این توکن‌ها هستند که تعداد زیادی دنبال‌کننده در رسانه‌های اجتماعی دارند. بدین‌ترتیب، کلاه‌برداران با احتمال بیشتری می‌توانند توکن جعلی خود را پیش از شناسایی‌شدن بفروشند و با فریب افراد سود کسب کنند.

همچنین، این آسیب‌پذیری در قراردادهای ERC721 و ERC1155 که به توکن‌های غیرمثلی مربوط می‌شوند، می‌توانند زمینه‌ساز کلاه‌برداری‌های بزرگ‌تر بعدی شوند یا راه را برای پیداکردن ضعف‌ توکن‌های ERC20 باز کنند. خبر خوش این است که هنوز راهکارهایی برای شناسایی این توکن‌ها وجود دارد و فقط تازه‌واردها و افراد ناآگاه ممکن است از این ناحیه ضربه بخورند.

چگونه کلاه‌برداری‌های اسلیپ مینتینگ را شناسایی کنیم؟

مهم‌ترین اقدام برای شناسایی توکن‌های جعلی اسلیپ مینتینگ، استفاده مناسب از مرورگر اتراسکن (Etherscan) یا سایر مرورگرهای بلاک چین است. با استفاده از این مرورگرها، می‌توانید سابقه تراکنش‌های قبلی توکن را بررسی کنید و مطمئن شوید که فروشنده کاربر خوش‌سابقه‌ای است یا خیر.

بخش توکن ویو (Token View) به کاربران کمک می‌کند جزئیات توکن‌ها را با دقت بیشتری بررسی کنند. ازآن‌جاکه هکر نمی‌تواند کلید خصوصی سازنده را داشته باشد و از‌جانب او امضا کند، تراکنش ایجاد (Mint Transaction) نمی‌تواند آغاز شود. به‌عنوان مثال، در نمونه تراکنش اثر بیپل می‌توانید آدرس فرستنده تراکنش ایجاد توکن را با آدرس اصلی بیپل تطابق دهید. در‌صورت نداشتن تطابق، احتمالاً با تراکنشی جعلی سروکار دارید.

علاوه‌بر‌این، خدماتی همچون ربات‌های تشخیص کلاه‌برداری که مخصوص نمونه‌های اسلیپ مینتینگ در پلتفرم غیرمتمرکز نظارتی «فورتا» (Forta) است، به شما هشدارهایی درباره موارد کلاه‌برداری ارائه می‌دهند. همچنین، اگر مشکوک هستید که توکن ممکن است جعلی باشد، می‌توانید با سازنده اولیه ارتباط برقرار کنید و از او بخواهید کنترل توکن را پس بگیرد. حس ششمتان را هم دست‌کم نگیرید. اگر پیشنهاد خرید توکنی را در‌اختیار دارید که بیش‌ازحد وسوسه‌کننده به‌نظر می‌رسد، بهتر است به آن شک کنید.

درنهایت، اگر به توکن خود شک دارید، راه فروش فوری توکن با درصدی تخفیف در پلتفرم‌های معامله توکن‌های غیرمثلی نیز پیش روی شما خواهد بود؛ البته توجه کنید که همیشه نمی‌توان به‌راحتی خریدار مناسبی برای این توکن‌ها پیدا کرد و ممکن است دچار ضرر شوید. در‌مجموع، آگاهی از خطرهای احتمالی در زمان خرید و توجه به جزئیات توکن، به شما کمک می‌کند با خیال آسوده‌تری وارد بازار سرمایه‌گذاری شوید.

چگونه از خطر اسلیپ مینتینگ در امان باشیم؟

علاوه‌بر آنچه گفتیم، چند راهکار ساده نیز وجود دارند که به شما کمک می‌کنند تا‌حدممکن دچار کلاه‌برداری‌های اسلیپ مینتینگ نشوید. در‌ادامه، به تعدادی از این راهکارها اشاره می‌کنیم:

• پیش از خرید یا دریافت توکن غیرمثلی، حتماً سازنده و منشأ توکن را بررسی کنید.
• اگر با آدرس‌ها و قراردادهای هوشمند NFT آشنا نیستید، حتماً پیش از خرید درباره این موضوع مطالعه کنید.
• تا‌حدممکن سعی کنید آگاهی و دانش خود را درباره توکن‌های غیرمثلی و شیوه ایجاد آن‌ها افزایش دهید.
• درصورتی‌که توکنی را از منبعی ناشناس دریافت کردید، فوراً آن را از کیف پول خود حذف کنید.
• اگر مشکوک هستید که قربانی اسلیپ مینتینگ شده‌اید، با سازندگان اصلی توکن تماس بگیرید و درصورت امکان از آنان کمک بخواهید.
• گزارش فعالیت‌های مشکوک را به مراجع قانونی ارائه دهید و سایر کاربران را از‌طریق شبکه‌های اجتماعی و تالارهای گفت‌وگو مطلع کنید.

علاوه‌بر‌این، سازندگان توکن‌های غیرمثلی نیز باید احتیاط لازم را در این زمینه به‌خرج دهند. به‌عنوان مثال، آنان می‌توانند از ارائه مجوز برای ایجاد توکن NFT در کیف پول خود به‌دست کاربران این کلاه‌برداری مشکوک خودداری کنند و هرگونه فعالیت مشکوک مربوط به کیف پول خود را به‌دقت زیرنظر بگیرند. شایان ذکر است که سازندگان معتبر توکن‌های غیرمثلی نیز قربانی اسلیپ مینتینگ به‌شمار می‌روند و ممکن است اعتبار خود و ارزش آثارشان را از دست بدهند.

جمع‌بندی

در این مقاله، با یکی از انواع جدید کلاه‌برداری‌ها در فضای ارزهای دیجیتال به‌ نام اسلیپ مینتینگ آشنا شدیم. در روش اسلیپ مینتینگ، هکر با سوءاستفاده از کیف پول یکی از سازندگان معتبر توکن‌های غیرمثلی توکنی جعلی ایجاد می‌کند؛ اما سود حاصل از فروش و انتقال توکن را خود به جیب می‌زند. همچنین، مراحل اولین نمونه اسلیپ مینتینگ را مرور کردیم و توضیح دادیم که چرا این نوع کلاه‌برداری می‌تواند برای تمام فضای ارزهای دیجیتال پرهزینه و مخرب تمام شود. در پایان نیز، به روش‌های کاربردی برای شناسایی و درامان‌ماندن از کلاه‌برداری اسلیپ مینتینگ اشاره کردیم.

با گسترش فضای ارزهای دیجیتال، هکرها نیز به روش‌ها و رویکردهای جدیدی برای هک و کلاه‌برداری روی می‌آورند. تکامل حوزه‌های نوین فناوری‌های تازه‌نفسی همچون بلاک چین و ارزهای دیجیتال در‌کنار تمام دستاوردهای خود موجب می‌شود ضعف‌های این فناوری‌ها نیز بهانه‌هایی برای نفوذ به سیستم در‌اختیار کلاه‌برداران قرار دهد. با‌این‌همه، خبر خوش این است که این سوءاستفاده‌های اجتناب‌ناپذیر می‌توانند به پوشش ضعف‌ها و ایجاد قوانین بازدارنده برای جلوگیری از تکرار مشکلات مشابه کمک کنند.

درواقع، حرکت هکر ناشناسی با نام مستعار موسیو پرسون با هدف جعل یکی از توکن‌های غیرمثلی ارزشمند بازار باعث شد تا کاربران این حوزه به اهمیت خوانش صحیح قراردادهای هوشمند و تحلیل آن‌ها بیشتر پی ببرند. نمونه‌هایی از اسلیپ مینتینگ اهمیت گسترش و افزایش دانش درباره امنیت توکن‌های غیرمثلی را بیش‌ازپیش برجسته کرد. همچنین، این مسئله باعث یادآوری یکی از اصول بلاک چین، یعنی نیاز‌نداشتن به اعتماد به طرف معامله شد. به‌عبارت ساده‌تر، درصورتی‌که می‌دانید چگونه باید قرارداد هوشمند را بخوانید، به اعتماد به طرف مقابل نیازی ندارید.