Allo stato attuale, sussistono una serie di rischi per i consumatori nell’ecosistema NFT e molti marketplace non dispongono di funzionalità di sicurezza di base per proteggere i consumatori. I truffatori hanno impersonato artisti famosi per vendere NFT o fatto ricorso alla creazione di marketplace falsi per raccogliere carte di credito e altre informazioni finanziarie oppure ancora hanno messo in piedi attività di phishing e attacchi ransomware o si è assistito allo sfruttamento di vulnerabilità presenti nel codice degli smart contract per rubare NFT.
Poiché è possibile trasferire NFT a qualsiasi indirizzo corrispondente ad un wallet, i consumatori possono ricevere spam non richiesto, contenuti pornografici o materiale offensivo sotto forma di NFT; per rimuovere tali NFT indesiderati dai loro portafogli, gli utenti si troverebbero così costretti a pagare commissioni di transazione, in alcuni casi e/o per alcuni utenti proibitive.
NFT e antiriciclaggio, ecco le regole e il loro impatto sulle piattaforme di scambio dei token
Mercati NFT, lo scenario
Un mercato NFT è una piattaforma web per la vendita e lo scambio di NFT, simile ad un exchange di criptovalute. Alcuni mercati NFT accettano pagamenti in valuta tradizionale, come il dollaro o l’euro, ma tutti accettano rigorosamente pagamenti in criptovaluta. Generalmente gli NFT vengono venduti sui mercati NFT online ad un prezzo fisso o tramite un’asta, ma i proprietari possono anche decidere di vendere o negoziare i propri NFT direttamente senza intermediari, non avvalendosi di un mercato. Alcuni mercati NFT pagano delle royalties ai creatori, consentendo loro di ricevere un introito continuo, legato alle rivendite successive dei loro NFT. Si stima che le dimensioni del mercato NFT, nel 2021, si aggirassero intorno ai 40 miliardi di volume di scambi annuali con numeri simili nel 2022, seppur in frenata.
Si tratta di numeri sicuramente gonfiati anche da altre attività illecite come ad esempio il “wash trading”, ma che comunque rende l’idea delle dimensioni del fenomeno. Sebbene i sostenitori affermino che gli NFT hanno rivoluzionato i mercati dell’arte digitale e il concetto della proprietà digitale, molti creator e utenti non ottengono i profitti sperati o addirittura si ritrovano con grosse perdite di denaro in seguito a compravendita di NFT.
Wash trading e riciclaggio attraverso piattaforme NFT: cosa sono e quali rischi si corrono
L’attività nel mercato NFT è altamente concentrata in pochi marketplace: OpenSea è uno dei più grandi mercati NFT, con una valutazione di mercato di 13,3 miliardi di dollari a gennaio 2022. Nel 2022, si è assistito all’ingresso di altri due mercati, LooksRare, cresciuto rapidamente fino ad elaborare (a metà 2022) transazioni per circa 3 miliardi di dollari, in quantità comparabili a quelle di OpenSea, e Blur che, grazie a commissioni di trading azzerate, a fine 2022 ha superato OpenSea nei volumi di scambi, nonostante quest ultimo mantenga ancora la sua posizione dominante in termini di utenti unici.
Le azioni dei marketplace contro gli illeciti
La maggior parte dei mercati NFT affermano di rimuovere gli NFT che violano i termini del servizio della piattaforma (il che significa che un NFT viene rimosso dalla piattaforma ma comunque rimane sulla blockchain). Alcuni di questi termini sono cambiati nel tempo: ad esempio, inizialmente OpenSea aveva un processo di approvazione per prevenire gli abusi online, ma successivamente rimosso tale requisito. A gennaio del 2022, la società ha limitato gli utenti alla creazione di 50 NFT per impedire ai truffatori di massa produrre NFT plagiati, falsi o spam, ma nelle successive ventiquattro ore, ha annullato la sua decisione dopo le proteste della comunità.
Nel maggio 2022, OpenSea ha introdotto un sistema automatizzato per identificare e rimuovere “copie di contenuti NFT autentici” (ovvero, impedire che la stessa risorsa venga coniato e venduto più volte). Altri mercati NFT, come SuperRare e Nifty, richiedono la verifica sia dei venditori che delle collezioni listate sulle proprie piattaforme. I requisiti di verifica comuni includono la richiesta di riferimenti ai social media del venditore, informazioni di contatto o le bozze dei file oggetto degli NFT. Su OpenSea e Rarible, la verifica è facoltativa ma può aumentare la credibilità di un NFT. Alcuni mercati visualizzano badge speciali sui profili degli artisti verificati o sulle raccolte NFT, anche se ci sono episodi in cui dei truffatori hanno già aggirato il processo di verifica di Rarible impersonando artisti famosi.
Diritti d’autore e proprietà legale
La relazione tra un NFT e la proprietà legale degli asset digitali o fisici ad esso correlato non è ancora chiara e ben definita. Com’è noto gli NFT non conferiscono necessariamente la proprietà legale o il copyright degli asset digitali o fisici associati all’NFT, a meno che non sia esplicitamente specificato altrove, ad esempio nei termini e condizioni del market o in contratti esterni.
Il copyright garantisce ai creatori una serie di diritti esclusivi per impedire ad altri, tra le altre cose, di copiare o vendere le loro opere creative. Il detentore del copyright ha generalmente il diritto esclusivo di riprodurre l’opera, eseguirla pubblicamente e mostrarla, distribuirla e preparare opere derivate da esso.
A partire dal 2022, la maggior parte degli NFT non trasferisce esplicitamente la proprietà o il copyright dell’asset sottostante all’acquirente. Alcuni clausole contrattuali o accordi esterni possono concedere una licenza per uso personale e non commerciale, mentre altri possono concedere una licenza che consente l’uso commerciale. In alcuni casi i creatori e le piattaforme NFT non forniscono alcuna informazione su come o se l’elemento digitale o fisico sottostante possa essere utilizzato. Alcuni mercati NFT potrebbero fornire termini di servizio fuorvianti che inducono i consumatori a credere che stiano acquistando la “reale proprietà” o il copyright di elementi digitali o fisici associati ai metadati degli NFT, anche quando non esiste (o non è specificata) un reale legame “legale” tra il bene e il token NFT che lo referenzia.
In aggiunta a quanto detto, la crescita dei mercati NFT potrebbe contribuire a un aumento delle violazioni del copyright per l’arte digitale e altri contenuti online. In molti mercati NFT, i truffatori possono facilmente “tokenizzare” l’arte che non hanno creato, poiché spesso non è richiesta la prova della proprietà legale dell’opera d’arte sottostante per coniare un token. Non ci sono dati a livello di settore sul volume o sulla proporzione di NFT che potrebbero violare le leggi sul copyright. Tuttavia, i dati forniti da alcune società danno un’idea della portata del problema. Nel 2022, OpenSea ha twittato di aver scoperto che l’80% dei suoi NFT “erano opere plagiate, raccolte false e spam”, cifra poi ritrattata successivamente. Nel 2021 DeviantArt, una piattaforma dedicata agli artisti, ha individuato 25.000 NFT che erano stati venduti senza il permesso dei creatori originali delle opere.
Analisi della sicurezza dei market NFT
Per quanto riguarda l’analisi della sicurezza dei market NFT, è possibile individuare le più importanti classi di vulnerabilità che, se sfruttati, rappresenterebbero un rischio per tali piattaforme e per i loro utenti.
Autenticazione dell’utente
Verifica dell’identità: la verifica dell’identità è il primo passo per contrastare il riciclaggio di denaro, già molto diffuso nel web e a maggior ragione nel mondo crypto. I principali exchange di criptovalute, come Coinbase o Binance, sono altamente regolamentati. Per creare un account con questi scambi, è necessario fornire informazioni di identificazione personale (nome, indirizzo di residenza, codice fiscale), insieme ai documenti giustificativi che confermano questi dettagli. Per quanto riguarda i market gli autori hanno riscontrato che nessuno di essi ha implementato delle politiche KYC (Know Your Customer) o AML/CFT (Anti-Money Laundering/ Combating the Financing of Terrorism). Di conseguenza, attualmente è possibile sia nascondere l’identità che creare più account sulla piattaforma.
Autenticazione a due fattori: l’abilitazione della 2FA (Autenticazione a due fattori) migliora notevolmente la sicurezza dell’autenticazione basata su password. A differenza delle istituzioni finanziarie tradizionali ma anche di broker e exchange di criptovalute (come Coinbase e Binance), la 2FA non è ancora diffusa come opzione per i market. La 2FA era facoltativa anche per gli utenti Nifty fino a quando ha subito l’attacco che ha compromesso diversi account nel marzo 2021. Secondo il loro report iniziale, nessuno dei gli account interessati aveva attiva la 2FA quando è avvenuto l’hacking.
Creazione (minting) dei token
Verificabilità degli smart contract dei NFT: un smart contract è considerato “verificabile” su una determinata blockchain, ad esempio Ethereum, se il suo codice sorgente viene inviato ad Etherscan il quale verifica la corrispondenza tra il codice inviato e il bytecode del contratto “mintato”. Data la complessità degli smart contract, il codice sorgente è molto più facile da controllare rispetto al bytecode. La verificabilità di smart contract esterni è fondamentale in quanto possono essere dannosi o difettosi. La verificabilità è una caratteristica necessaria ma non sufficiente per la sicurezza di uno smart contract, in quanto è bene che si abbia la corrispondenza del codice al bytecode che effettivamente viene eseguito su chain, ma è altrettanto importante che su quel codice venga svolta un’attività di auditing che ne attesti la genuinità delle funzioni.
Manomissione di metadati: i metadati di un NFT contengono un link alla risorsa corrispondente. Di conseguenza una modifica ai metadati potrebbe implicare la perdita di significato dell’NFT, anche se lo standard ERC-721 consente la modifica dei metadati di un token. Tuttavia, nei casi in cui un NFT rappresenta un particolare asset (come un’opera d’arte) che viene venduto, la modifica dei metadati potrebbe andare in contrasto con l’aspettativa del compratore sulla scarsità e unicità del bene acquistato.
La posizione e il contenuto dei metadati vengono decisi al momento della creazione dell’NFT. Un creatore/proprietario malevolo M potrebbe alterare il file dei metadati post-creazione in uno dei due seguenti modi:
1. modificando il campo metadata_url
2. modificando direttamente il file dei metadati
Anche se il primo metodo potrebbe essere vietato direttamente dallo smart contract, i metadati ospitati off-chain su piattaforme di terze parti (web) possono essere liberamente modificati da M, se ha accesso o controlla in qualche modo tali piattaforme. Quest’ultima eventualità può essere prevenuta se i metadati sono ospitati su storage decentralizzati come IPFS (InterPlanetary File System) poiché l’URL di un oggetto archiviato su IPFS include l’hash del suo contenuto, i metadati non possono essere modificati pur mantenendo lo stesso URL registrato nell’NFT.
Dal momento che nessun market che supporta il caricamento di smart contract dall’esterno implementa nessun controllo per prevenire la manomissione dei metadati, entrambi gli attacchi sono realizzabili.
Listing dei token
Principio del privilegio minimo: la sicurezza di tutti gli asset di un market dipende dalla sicurezza del contratto di deposito a garanzia o dell’account esterno che gestisce tale contratto. Tale architettura essenzialmente vìola il principio del privilegio minimo. Di conseguenza, sia una vulnerabilità nello smart contract del market che la perdita della chiave privata dell’account esterno potrebbe compromettere la sicurezza di tutti gli NFT archiviati.
Caching non valido: durante la visualizzazione di un NFT in vendita, alcuni market come OpenSea e Rarible sfruttano un livello di memorizzazione nella cache locale per evitare richieste ripetute per recuperare le immagini associate. Se l’immagine viene aggiornata o scompare, la cache non è sincronizzata. Questo potrebbe indurre un acquirente ad acquistare un NFT per la quale l’attività è inesistente o diversa da cosa mostra il market in quel momento. Di recente OpenSea, ad esempio, è corsa ai ripari introducendo la possibilità per l’utente di effettuare il refresh dei metadati e delle informazioni relative all’NFT che sta visualizzando.
Verifica del venditore e della collezione di NFT: gli annunci di venditori/collezioni verificate non solo ricevono un trattamento preferenziale dai market, ma attirano anche maggiore attenzione da parte degli acquirenti. Tuttavia, il meccanismo di verifica è in genere ad hoc e la decisione finale è a discrezione delle piattaforme stesse. Requisiti comuni potrebbero essere includere la condivisione delle URL dei social media dei venditori e la prova della loro proprietà, la condivisione delle informazioni di contatto, la necessità per le raccolte di raggiungere un determinato volume di scambi, la presentazione delle bozze delle opere che si stanno caricando, ecc.
Interscambio dei token
Mancanza di trasparenza: gli NFT sono delle registrazioni di proprietà degli asset archiviate sulla blockchain per consentire la verificabilità pubblica. In un’impostazione decentralizzata, una vendita NFT è gestita da uno smart contract del market in cui ogni transazione include le seguenti informazioni:
- indirizzo del venditore (attuale proprietario),
- indirizzo dell’acquirente (nuovo proprietario),
- importo di vendita,
- timestamp della transazione.
Lo standard ERC-721 prevede pure il metodo ownerOf() che restituisce l’attuale proprietario di un token. Con tutte queste informazioni unitamente alle API fornite dagli standard, è possibile ricostruire la vita di un NFT. Viceversa, se tali informazioni sono archiviate offchain, la verifica della storia di un NFT diventa difficoltosa se non impossibile. Inoltre, un market può abusare di questa architettura falsificando i dati per gonfiare i volumi dell’attività. I dati off-chain sono suscettibili di manomissione, censura e senza la garanzia della persistenza nel tempo se il database centralizzato del market subisce un arresto.
Equità dell’offerta: i marketplace possono implementare una gestione dell’offerta:
- onchain, tramite uno smart contract che richiede che gli importi dell’offerta siano depositato durante l’offerta.
- offchain, tramite una dApp proprietario che mantiene un order book senza richiedere alcun anticipo pagamento.
L’offerta offchain ha implicitamente delle vulnerabilità sfruttabili sia dal market che dagli utenti, in quanto non richiedendo un deposito, l’order book può essere facilmente influenzato da offerte mirate a perturbare la formazione del prezzo. Viceversa, la gestione delle offerte on-chain fornisce un buon livello di garanzie in quanto si ha un esborso di fondi dovuti alle transaction fee (gas fee su Ethereum) per piazzare/annullare le offerte, rappresentando quindi un costo per l’esecuzione di truffe da parte di malintenzionati.
Distribuzione delle royalty ed elusione delle commissioni sul mercato: se lo smart contract dell’NFT prevede una royalty, ogni operazione di trasferimento dovrebbe generare una commissione per il creatore. Sono state individuate alcune tecniche con le quali gli utenti possono potenzialmente abusare del meccanismo delle royalty previste per uno specifico NFT.
Conclusioni
In questa fase, l’industria NFT si trova, seguendo e in qualche modo alimentando l’hype del web3 con nuovi casi d’uso, in piena evoluzione: ogni progetto, ogni ricerca, ogni nuovo NFT creato, non importa quanto insignificante o dirompente e innovativo, aggiunge maturità all’intero ecosistema. Alla fine del 2021 ci si è trovati di fronte ad un mercato in piena speculazione, con un ingente afflusso di capitali da parte di VC e piccoli investitori, la maggior parte dei quali acquirenti inesperti, oltre ad una proliferazione di progetti a valore aggiunto relativamente basso, che hanno contribuito alla saturazione del mercato dando credito ai sospetti dei detrattori sul reale potenziale degli NFT. Nel 2022 la fase di hype degli NFT come attività speculativa è terminata.
Nonostante ciò l’ecosistema è in pieno fermento e non è mai stato così innovativo e maturo (anche se, come detto c’è ancora tanto da fare). Il clamore dei media che circonda gli NFT ha attirato l’attenzione di player dei settori tradizionali, ha permesso di avviare riflessioni su nuovi casi d’uso, allo scopo di integrare questa tecnologia con il core business delle grandi industrie. La domanda oggi non è più se gli NFT possono apportare valore a questi settori, ma quando e come saranno sfruttati appieno. Attualmente, dal beauty al lusso, dal trasporto al turismo, dallo sport al ticketing di eventi, alla finanza e assicurazioni, non c’è settore che non stia esplorando e studiando l’uso degli NFT e le potenzialità derivate dalla loro introduzione.
Dal punto di vista della sicurezza il Web3, la tecnologia NFT e i relativi marketplace realizzano (o affermano di realizzare) molte di quelle che possono considerarsi delle utopie nel campo della sicurezza tradizionale, eliminando il problema di un ambiente di esecuzione fidato, consentendo di sviluppare applicazioni immuni agli attacchi di tipo injection e un’architettura inerentemente più resistente agli attacchi di tipo DoS, per non parlare della trasparenza by-design ereditata dall’utilizzo della blockchain sottostante. Tuttavia, per tutte le motivazioni sopra esposte, sono diversi i problemi riscontrati sui marketplace NFT e frequenti le notizie di attacchi e sottrazione di crypto-valuta dalle diverse piattaforme o dai wallet degli utenti. In particolare, gli NFT e i relativi marketplace operano in un ambiente molto più dinamico e che consente agli aggressori di monetizzare il proprio attacco molto più facilmente. Esse sono costantemente attive e gestiscono “denaro contante” (cryptovalute) con trasferimenti di somme eseguiti su blockchain quasi in tempo reale e soprattutto immutabili, mentre nei sistemi bancari classici, anche in presenza di security breach, le transazioni di denaro possono essere sempre ripristinate fintanto che gli attaccanti non incassano e spariscono.
La transizione al Web3 è un cambio di paradigma che mette in discussione i vecchi modelli: a causa della mancanza di controllo centrale e di accesso ai dati, esso potrebbe rendere ancora più difficile contrastare la criminalità informatica che fa sempre più uso di crypto-asset. L’ecosistema che si sta costruendo riplasmerà il modo in cui sono organizzate le informazioni sul web, con la tecnologia blockchain che ha il potenziale per rimodellare le organizzazioni e trasformare interi settori. Le autorità di regolamentazione, le aziende e persino i consumatori devono iniziare a ripensare a come gestire i problemi di sicurezza informatica e privacy da un nuovo punto di vista, per allinearsi al panorama in evoluzione.
