“5.18日,美国演员Seth Green遭遇钓鱼攻击导致名下4个NFT被盗,盗窃者已将NFT全部售出,获利近160枚ETH(约33万美元)。相关研究机构对钓鱼地址分析后,发现其中总共有8个用户的NFT均被盗,全部售出后总获利194ETH。”
近日,又一则NFT被盗案进入人们的视线,如今NFT的行业热度可谓史无前例,然而伴随而来的却是被盗、侵权等一系列负面消息。基于区块链的技术,号称以加密、确权、永久保存、独一无二等为标签的NFT数字资产究竟如何确保安全,也成了人们更关心的话题。
猴子被盗出圈!周董损失380+万
今年愚人节,由一只“猴子”引发的盗窃案迅速成为中文社交网站的霸屏话题。此“猴子”之所以引起广泛
而正当大家都以为是愚人节玩笑时,黑客已悄手转卖了周杰伦的NFT,这个藏品很快以111ETH、130ETH、155ETH的价格多次交易,当日,1ETH接近2.5万人民币,即周董被盗的NFT价值超过380余万元!
NFT到底是什么?为何如此火爆?
2021年3月,艺术家Beeple的NFT画作《每一天:最初的5000天》(Everydays:The First 5000 Days)拍出6937万美元的天价,NFT迅速爆红出圈。今年北京冬奥会期间,冰墩墩NFT数字藏品价格暴涨近千倍,也引发了无数人的热抢。
如今动辄数万美元的NFT作品,最早诞生于2017年,著名的区块链平台以太坊推出过一个名叫“CryptoPunks”的像素头像项目,当年免费就可领取。直到2021年,随着NFT作品屡屡被拍出天价,众多明星纷纷入场,NFT也开始被更多人所知晓,NFT在国外的情形可以用“火热”来形容。据加密数据指标网站Token Terminal数据显示,NFT交易平台OpenSea 2021年的交易量为140亿美元,相比2020年(2170万美元)增长了646倍,可谓是NFT元年。
NFT(Non-Fungible Token)是基于区块链技术的一种非同质化代币,本质上是加密货币的一种。NFT的创新之处在于它在区块链平台上得到确权,具备唯一性,且不可篡改和复制。理论上“万物皆可NFT”,利用NFT技术所形成的数字资产可以是一张动图、一幅画、一个头像、一段视频,甚至是一段文字内容。因为发行和流通平台的去中心化,使得这种数字资产更加公开、透明、难以伪造和虚增,因而成为密码货币和token之后新的投资热点。
正是由于NFT的特性,也让艺术品收藏行业、影视音乐出版行业以及艺术品创作者们如获至宝,成为屡屡和收藏品联系在一起并炒出天价的原因之一,有很多人看好其在知识产权保护方面的应用。不仅国外,在国内NFT甚至衍生出更具本土化、合规化的是数字藏品模式。
然而繁荣背后,伴随而来的却是被盗、侵权、恶意软件抢购等一系列负面消息。数字资产如何确保安全,也成了人们更关心的话题。
安全问题频发,数字小偷手段不断
天下熙熙皆为利来,天下攘攘皆为利往。风头正盛的NFT吸引黑灰产们闻声而来,不仅周董和Seth Green,光是回看今年的新闻,就能轻易找到频发的攻击事件:
l 1月,国内数字藏品开启抢购,黑灰产用恶意抢购工具&设备实现一秒盈利20万。
l 2月,国外藏友被盗无聊猴NFT全系列猿种和变种猿猴,价值270万美元。同时,知名NFT交易平台Opensea也遭黑客攻击损失了大约170万美元的NFT资产。
l 3月,知名NFT游戏Axie Infinty受到攻击,损失价值高达6.25亿美元。同月DeFiance Capital创始人兼Crypto投资者Arthur Ox遭受钓鱼攻击,加密钱包手机客户端被破解,被控制超150万美元NFT。
l 4月,再次发生多起“无聊猴游艇俱乐部”被攻击事件,官方在Twitter建议用户注意自身的账号安全。
虽说区块链技术足以保证NFT的真实性和归属,并且对链上信息进行有效溯源,作为数字凭证是可靠安全的。但是,作为交易流通的艺术藏品,NFT在流通过程中却依旧存在各种安全隐患,尤其是在上链之前的环节,和用户账户&数字钱包客户端的安全上。再加NFT虽有区块链技术的保障,但是其流通渠道却是在一些中心化的平台,这也导致了NFT的安全存在漏洞。
从数字资产自动化工具抢购到二级市场转手、倒卖、捡漏交易;从用户被钓鱼泄露账号信息到数字钱包客户端被暴力破解,黑灰产在全链路上的攻击行为可谓是无孔不入
(黑灰产产业链分工细致,情报-资源-工具-场景作恶变现,层层嵌套)
公开资料显示,目前NFT的风险可大致分为三类:
1. 一类是NFT所有者授权问题,所有权依赖于私钥,而NFT持有者也可授权其它地址作为代理人,可能因NFT持有者的误操作,导致权限被劫持,例如私钥持有者打开了钓鱼软件或者设备端被黑客恶意破解/安装木马病毒等,都可能导致私钥的外泄,而拥有私钥的人就成为NFT的拥有者,可以对NFT售卖。这一类主要是钓鱼网站、钱包层面的不安全接口调用涉及相关安全因素;
2. 第二类针对国内实名制数字藏品玩法,黑灰产更是通过各类脚本工具机器人对平台进行批量注册、抢购、盗号、转移数字藏品资产,圈内很多正常玩家时常调侃“三部手机同时抢,陪跑是常态,抢到是意外。”在此混乱现象下,更是不乏会在接码平台上出现黑吃黑的情形。
3. 第三类则是NFT参与DEFI(去中心化金融)系统后引入的外部风险,如NFT质押挖矿合约本身所带来的安全风险等。
而以目前的技术,一旦NFT被黑灰产控制,被追回的几率十分渺茫。因为区块链是一个去中心化的系统,假设NFT转移到某个地址,最多只能看到那个地址,而无法对应使用这个地址的人,因此没办法追回。随着NFT的热度日益高涨,大量用户和真金白银不断倾倒进市场中,觊觎用户钱包的黑灰产们只会更加活跃,不难想象危及用户财产安全的事件会进一步增加。
保障数字资产安全,共建行业健康发展
一个新行业的发展离不开入局玩家和企业的共同努力,如今伴随越来越多的用户和平台受损,各界对安全质疑的声音愈发激烈,对NFT市场环境十分不利。对于个人用户而言,更需要提升的是个人安全意识:
1. 警惕网络钓鱼。目前NFT的安全事件中,钓鱼欺诈占了很大比例。因此,保护好自己的个人信息,检测链接信息的安全,注意真假网站、邮件、APP的甄别都是非常重要的。请切记,不要轻易授权!
2. 保证私钥/助记词/加密钱包的安全,千万不要泄露。一旦泄露,你的数字资产很可能就已处于风险之中。
3. 勿贪小便宜。轻信各种可疑来历的福利信息也很容易让自己付出沉重的代价,这点无论线上线下一样重要。
而对于NFT乃至区块链相关企业来说,则更需要构建专为自身业务而设计的全链路安全防御体系。凭借多年在业务安全领域的黑灰产专业对抗经验,顶象量身打造业务安全感知防御云,防御云具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系,可为NFT平台以及相关企业解决后顾之忧,对当下NFT数字藏品市场乱象破局。
设备指纹通过用户设备软硬件指纹信息,生成可抗黑产破解的设备标识,作为纵深防御风控体系下的重要支撑,实现终端设备上的各类风险检测、行为风险分析及真机识别,有效侦测黑灰产通过使用工具模拟器、刷机改机多开、团伙作弊等对NFT、数字藏品盗取等恶意欺诈盗取行为,具备唯一性和稳定性。一旦识别风险环境及行为操作,可在设备维度组合关联多种业务策略进行处置。
(黑灰产群控手机和设备牧场)
在应对NFT及数字藏品的业务风险事件,即用户的注册、登录、抢购、授权、转增等行为,通过布防顶象“智能无感验证”,基于设备、时间、访问频率、操作轨迹等信息,智能分析与预先判定操作者是合法用户还是仿冒者,进而判断是否对用户操作放行:对于合法用户,免验证即通过;对于异常用户,根据潜在风险等级进行二次验证或直接拦截。既保障安全,又提升操作体验,杜绝藏品被盗和恶意机器抢购事件。
作为管理和使用加密货币最关键的东西,私钥对所有NFT用户而言具有所有权,拥有私钥才能支配相应的加密资产。在保障秘钥安全层面,可对钱包客户端进行安全加固。顶象全平台端安全加固基于虚机源码保护专利技术,为安卓、iOS等平台客户端提供全方位的加固保护,内嵌一机一密功能,保护钱包客户端,应对APP盗版、协议破解、技术泄密、数据泄漏等问题,同时侦测模拟器、刷机改机、调试破解等欺诈行为,实现端(用户端)到端(服务端)的全链路保护,有效防止攻击类手段造成的私钥窃取等风险。
结语
未来,NFT最理想的应用场景还是仍未成型的元宇宙。元宇宙要与现实场景打通,NFT则是连接虚拟和现实的重要途径:现实世界里有什么,元宇宙里就可以有对应的NFT,交易可以通过NFT完成。
如今的NFT更像一个数位板的原版证书,更多时候是一种社交价值,面对市场的炒价现象,无论是图片、音乐等艺术创作,虽然知道在网路上可以看到一样的东西,但NFT的特性也在不断吸引玩家花费成本投入。而对于普通人来说,对于看不见摸不到的虚拟产品,对于陌生领域的商机和可能产生的安全隐患,避免风险最好的办法就是不碰,或许是比较理性的判断。
一个新行业的长久发展离不开对黑灰产的安全防范,当下安全乱象频出,是时候该行动起来了!