信息來(lái)源：安全內(nèi)參

最近，針對(duì)線上藝術(shù)家NFT（nonfungible token，非同質(zhì)化通證）項(xiàng)目的惡意軟件攻擊表明犯罪份子也開(kāi)始從數(shù)字貨物日益增長(zhǎng)的蛋糕中“獲益”——這對(duì)那些越來(lái)越多的試圖乘上NFT浪潮進(jìn)行品牌推廣的企業(yè)也有一定的警示作用。

根據(jù)Malwarebytes的研究人員觀察，這一系列的攻擊使用到了NFT項(xiàng)目Cyberpunk Ape Executives中的消息系統(tǒng)。這些消息被發(fā)送給在DeviantArt和Pixiv這類在線平臺(tái)的數(shù)字藝術(shù)創(chuàng)作者，邀請(qǐng)收件人一起和Cyberpunk Ape項(xiàng)目幕后的人員協(xié)作，創(chuàng)建新的NFT內(nèi)容。這些信息還保證每天能有350美元的酬勞。

消息中還有一條鏈接，表示能將收件人引向項(xiàng)目的詳細(xì)信息。當(dāng)用戶點(diǎn)擊這個(gè)鏈接的時(shí)候，他們會(huì)跳轉(zhuǎn)到一個(gè)網(wǎng)站，下載多幅猩猩的圖片，作為該項(xiàng)目NFT的例子。其中的一副圖片是可執(zhí)行文件，會(huì)在打開(kāi)的時(shí)候感染用戶的系統(tǒng)，并植入信息竊取腳本。

Malwarebytes表示，他們已經(jīng)發(fā)現(xiàn)Pixiv和DeviantArt等平臺(tái)上多名用戶聲稱他們的賬戶被用于散布同樣的Cyberpunk Ape Executive NFT項(xiàng)目欺詐信息。Malwarebytes表示他們無(wú)法確認(rèn)信息竊取腳本本身是否會(huì)導(dǎo)致賬號(hào)信息泄露，還是這又是其他釣魚攻擊的結(jié)果。

NFT相關(guān)的網(wǎng)絡(luò)犯罪：一個(gè)快速增長(zhǎng)的威脅

這次的攻擊事件只是近來(lái)暴增的基于NFT的攻擊事件之一。Malwarebytes的首席惡意軟件情報(bào)分析師Chris Boyd表示，大部分的攻擊事件，當(dāng)前只是針對(duì)直接在NFT領(lǐng)域工作的人。Boyd預(yù)測(cè)：“然而，隨著更多主流業(yè)務(wù)開(kāi)始啟用NFT項(xiàng)目，或者想進(jìn)入?yún)^(qū)塊鏈業(yè)務(wù)，NFT的安全問(wèn)題會(huì)很快成為傳統(tǒng)行業(yè)中不得不考慮的問(wèn)題?！?

像Gartner和Forrester這樣的分析公司已經(jīng)預(yù)測(cè)，在未來(lái)的幾年時(shí)間，NFT會(huì)成為企業(yè)戰(zhàn)略中的重要部分。Gartner在2021年的成熟度曲線中將NFT視為新興技術(shù)，并且認(rèn)為這類技術(shù)會(huì)在未來(lái)十年對(duì)商業(yè)和社會(huì)形成最大的影響。Gartner預(yù)計(jì)，NTF會(huì)在元宇宙中承擔(dān)奠基層面的角色，幫助企業(yè)通過(guò)沉浸式的虛擬工作環(huán)境，為員工和其他人提供更好的聯(lián)系、合作和溝通環(huán)境。

Forrester指出像保險(xiǎn)公司State Farm也通過(guò)橄欖球主題的尋寶進(jìn)入NFT領(lǐng)域，代表了越來(lái)越多的企業(yè)正在快速投入對(duì)NFT進(jìn)行試水。

HBR（Harvard Business Review，哈佛商業(yè)評(píng)論）在今年早些時(shí)候?qū)⑵髽I(yè)對(duì)NFT初始的推動(dòng)描述為他們開(kāi)始關(guān)注發(fā)起屬于他們自己的數(shù)字收集品——比如Campbell的湯罐頭藝術(shù)。HBR預(yù)測(cè)在未來(lái)幾年，NFT會(huì)成為企業(yè)和他們顧客之間的“核心數(shù)字接觸點(diǎn)”。

各種類型的攻擊

Boyd提到，Malwarebytes每天都能觀察到多種不同的NFT和加密貨幣威脅。

“最常見(jiàn)的攻擊，是欺騙那些加密貨幣的狂熱者交出他們錢包的助記詞?！彼f(shuō)到。那些被欺騙成功的用戶經(jīng)常會(huì)永遠(yuǎn)失去他們的加密貨幣，他繼續(xù)說(shuō)到：“偽造的Airdrop也很常見(jiàn)，也會(huì)要求助記詞或者讓受害者將他們的錢包連接到惡意的Airdrop網(wǎng)站。這些虛假的Airdrop網(wǎng)站基本都是真實(shí)NFT項(xiàng)目網(wǎng)站的偽造品。由于有太多小而未被驗(yàn)證的項(xiàng)目，通常用戶很難分辨孰真孰假?！?

Check Point Software的漏洞相關(guān)產(chǎn)品總監(jiān)Oded Vanunu表示，他的公司觀察到多個(gè)基于NFT的攻擊圍繞挖掘NFT市場(chǎng)和應(yīng)用中的脆弱性展開(kāi)。

“我們需要理解所有NFT或者加密市場(chǎng)都在使用Web3協(xié)議?！盫anunu說(shuō)到，直指基于區(qū)塊鏈技術(shù)的一個(gè)新的互聯(lián)網(wǎng)環(huán)境。攻擊者正在試著發(fā)現(xiàn)新的攻擊方式，以利用連接到像區(qū)塊鏈這類分布式網(wǎng)絡(luò)的應(yīng)用中的漏洞。

在過(guò)去幾個(gè)月，Check Point Research已經(jīng)發(fā)現(xiàn)了多起攻擊，試圖騙用戶提供NFT平臺(tái)或者錢包的準(zhǔn)入權(quán)限，針對(duì)NFT市場(chǎng)漏洞從而獲取屬于數(shù)字藝術(shù)家的NFT。

Check Point還發(fā)現(xiàn)利用惡意NFT挖掘平臺(tái)漏洞的攻擊。Vanunu表示，擁有NFT資產(chǎn)或者加密貨幣資產(chǎn)的組織需要注意這些威脅。用企業(yè)分發(fā)設(shè)備接入NFT市場(chǎng)的企業(yè)用戶也可能會(huì)讓他們的組織置于風(fēng)險(xiǎn)之中。

Lookout的安全解決方案高級(jí)經(jīng)理Hank Schless也提到，越來(lái)越多基于NFT的詐騙同樣表明攻擊者在使用新的，并且相對(duì)未知的方式進(jìn)行攻擊。許多受害者在用加密貨幣購(gòu)買NFT，卻不完全理解其底層邏輯。比如，那些剛接觸NFT的人可能根本不知道如何驗(yàn)證他們?cè)陉P(guān)注的數(shù)字資產(chǎn)是否是真的。

攻擊者能夠利用這個(gè)信息差，欺騙攻擊者投標(biāo)假的NFT。在比較昂貴的NFT的資產(chǎn)的時(shí)候，這就會(huì)成為一個(gè)問(wèn)題——比如一個(gè)主要的投標(biāo)方會(huì)對(duì)一大批買家供應(yīng)碎片化的NFT所有權(quán)。

“這些‘組團(tuán)’購(gòu)買的行為，通常會(huì)在想推特、Reddit和Discord這樣的社交平臺(tái)進(jìn)行協(xié)調(diào)，這反而會(huì)給攻擊者有機(jī)會(huì)接觸一大批潛在的受害者?！盨chless說(shuō)到。盡管說(shuō)大部分NTF詐騙當(dāng)前依然是針對(duì)C端，但一個(gè)攻擊者依然可能可以輕易地用NFT誘騙的方式，將惡意軟件安裝到一個(gè)企業(yè)設(shè)備中，然后獲取企業(yè)數(shù)據(jù)。

Vanunu認(rèn)為，現(xiàn)在是時(shí)候讓組織提升用戶對(duì)圍繞NFT產(chǎn)生的威脅的安全意識(shí)了。擁有NFT平臺(tái)或者加密錢包的組織應(yīng)該推動(dòng)多因子驗(yàn)證。他同樣建議采取雙錢包方案：一個(gè)冷錢包保存所有的數(shù)字資產(chǎn)，另一個(gè)錢包進(jìn)行小額交易——這樣，即使被攻擊，攻擊者也無(wú)法搶走太多的資產(chǎn)。

數(shù)世點(diǎn)評(píng)

企業(yè)的新業(yè)務(wù)發(fā)展必然需要擁抱新的技術(shù)——但是新的技術(shù)必然會(huì)面臨新的威脅。區(qū)塊鏈帶來(lái)的NFT當(dāng)前來(lái)看會(huì)是一個(gè)不錯(cuò)的發(fā)展方向，但是顯然攻擊者永遠(yuǎn)會(huì)捷足先登。目前基于NFT的攻擊主要還是針對(duì)于消費(fèi)者層面。固然黑客攻擊會(huì)導(dǎo)致消費(fèi)者對(duì)NFT技術(shù)的信心下降，但是由于并非企業(yè)級(jí)應(yīng)用，其安全性得到的關(guān)注度可能會(huì)很有局限。但是，對(duì)于未來(lái)在考慮將NFT作為自己戰(zhàn)略發(fā)展技術(shù)一環(huán)的企業(yè)，NFT的安全性應(yīng)該先重視起來(lái)了。