В Москве на крупнейших открытых киберучениях завершился конкурс The Standoff Digital Art, в ходе которого «белые» хакеры взламывали картины современных представителей отечественного цифрового искусства. Спойлер: у них получилось.
The Standoff Digital Art — это виртуальная галерея, каждая картина в которой представлена в виде уникального NFT-токена. Именно его и пытались взломать специалисты по кибербезопасности. Свои работы предоставили российские диджитал-художники Desinfo, Meta Rite, Артем Ткач, volv_victory, Anomalit Kate и Loit.
NFT — невзаимозаменяемый токен. Его нельзя разделить на части или заменить на аналогичный. NFT обладает всеми свойствами уникального предмета в физическом мире, поэтому ценится не меньше, а в некоторых случаях даже больше своей аналоговой версии. Но спрос рождает не только предложение. Произведения искусства всегда кто-то хочет присвоить. Из галереи картину можно украсть, проникнув на выставку. Диджитал-картину можно украсть не вставая с дивана.
При этом технического способа вернуть украденный NFT прежнему владельцу не существует. Вся технология блокчейна, смарт-контрактов подразумевает, что выполненные действия нельзя отменить. Если в самом смарт-контракте не прописан вариант возвращения NFT, то нет и возможности это сделать. С другой стороны, вывести деньги за украденный NFT-объект очень сложно. И замести следы сложнее, чем в случае кражи реальной картины. Все транзакции видны в эксплорере, отследить, кто, что и когда сделал, довольно просто. При этом из блокчейна невозможно что-либо вывести в реальный мир, не используя криптобиржу, а все криптобиржи сейчас запрашивают подробные персональные данные о каждом из своих пользователей.И тем не менее кражи совершаются. Одним из громких «дел» стала кража двух криптопанков с платформы NFTX в июне 2021 года. Взломщику удалось выручить лишь 6 ETH, в итоге платформа выкупила их обратно. Другой инцидент случился с коллекцией авторов криптопанков (Larva Labs) под названием Meebits. В коде смарт-контракта была обнаружена уязвимость, которая позволяла предугадать редкость нового meebit при его минтинге. Хакеру удалось получить сверхредкий NFT и продать его за 200 ETH.
«NFT — это токен, который реализуется по определенным стандартам, — говорит руководитель отдела исследований по защите приложений Positive Technologies Арсений Реутов. — Но они являются лишь предписанием о том, что должно быть в смарт-контракте. При этом стандарт не регламентирует сам код — отсюда и возникают проблемы. Конечно, есть библиотеки, в которых уже все реализовано и протестировано, но ничто не мешает изменять этот код или добавлять свой. Как правило, именно в этом причина всех уязвимостей».
Подобные слабые места и искали участники The Standoff Digital Art, проверяя на прочность смарт-контракты настоящих российских NFT-объектов. Чтобы завладеть картиной, нападающие находили уязвимости в смарт-контрактах путем анализа исходного кода. Они были опубликованы в тестовой сети блокчейна Ethereum. Каждую из уязвимостей проэксплуатировали только один раз.
Состоялась также дискуссия, участие в которой приняли ведущие эксперты в области кибербезопасности и диджитал-арта. Свое мнение о том, сложно ли украсть NFT-токен, высказали организатор конкурса Арсений Реутов, а также художник, креатор, артист Александр Тито, цифровой художник Артем Ткач, один из драйверов российского NFT-сообщества и другие представители кибер-арта.
Спикеры сошлись во мнении, что NFT — это безусловный тренд нашего времени, а NFT-картины могут не уступать по стоимости аналоговым. Это связано с механизмом ценообразования:
«NFT обеспечил CG-художникам возможность выхода на арт-рынок. Появилась возможность продавать — появился и рынок, — заметил Артем Ткач. — Именно рынок формирует стоимость диджитал-арта: самые дорогие работы — это либо самые известные изображения, либо то, что создано медийным автором. Ценность определяется вовлеченной аудиторией».
Спикеры отметили также, что наметилась определенная тенденция на взаимопроникновение аналогового и цифрового искусства:
«Диджитал-направление принесло офлайновым художникам инструмент, чтоб создавать свои произведения и делиться ими. Например, когда был карантин, многие традиционные художники занялись созданием цифрового арта, которым было удобно делиться со всем миром, — отметил Александр Тито. — Так что, с моей точки зрения, это направление — дополнительный инструментарий для художников, для того, чтобы показать миру, чтó ты умеешь. Ну и потом: это удобство. Технологии должны работать на человека».
Однако очевидно, что об обеспечении безопасности NFT-арта известно недостаточно. Итоги конкурса доказывают актуальность этого направления для ИБ-компаний. Ведь хакеры внимательно следят за трендами, и все новейшие технологии мгновенно попадают в их поле зрения.
«Становится ли больше попыток взлома? Ответ будет „да“, — отметил Арсений Реутов. — Все больше людей погружаются в тему, изучают язык Solidity и блокчейн-платформы. Но порог вхождения остается довольно высоким, особенно в сфере децентрализованных финансов. Чтобы разобраться в смарт-контрактах, нужно не только знать Solidity, но и сам протокол и всю связанную с ним математику и финансовую сторону, а также то, как другие протоколы могут взаимодействовать с тем, который ты изучаешь. В NFT все попроще, но и там есть очень сложная логика, с которой необходимо разобраться».