信息來源:安全內(nèi)參
最近,針對線上藝術(shù)家NFT(nonfungible token,非同質(zhì)化通證)項(xiàng)目的惡意軟件攻擊表明犯罪份子也開始從數(shù)字貨物日益增長的蛋糕中“獲益”——這對那些越來越多的試圖乘上NFT浪潮進(jìn)行品牌推廣的企業(yè)也有一定的警示作用。
根據(jù)Malwarebytes的研究人員觀察,這一系列的攻擊使用到了NFT項(xiàng)目Cyberpunk Ape Executives中的消息系統(tǒng)。這些消息被發(fā)送給在DeviantArt和Pixiv這類在線平臺(tái)的數(shù)字藝術(shù)創(chuàng)作者,邀請收件人一起和Cyberpunk Ape項(xiàng)目幕后的人員協(xié)作,創(chuàng)建新的NFT內(nèi)容。這些信息還保證每天能有350美元的酬勞。
消息中還有一條鏈接,表示能將收件人引向項(xiàng)目的詳細(xì)信息。當(dāng)用戶點(diǎn)擊這個(gè)鏈接的時(shí)候,他們會(huì)跳轉(zhuǎn)到一個(gè)網(wǎng)站,下載多幅猩猩的圖片,作為該項(xiàng)目NFT的例子。其中的一副圖片是可執(zhí)行文件,會(huì)在打開的時(shí)候感染用戶的系統(tǒng),并植入信息竊取腳本。
Malwarebytes表示,他們已經(jīng)發(fā)現(xiàn)Pixiv和DeviantArt等平臺(tái)上多名用戶聲稱他們的賬戶被用于散布同樣的Cyberpunk Ape Executive NFT項(xiàng)目欺詐信息。Malwarebytes表示他們無法確認(rèn)信息竊取腳本本身是否會(huì)導(dǎo)致賬號(hào)信息泄露,還是這又是其他釣魚攻擊的結(jié)果。
NFT相關(guān)的網(wǎng)絡(luò)犯罪:一個(gè)快速增長的威脅
這次的攻擊事件只是近來暴增的基于NFT的攻擊事件之一。Malwarebytes的首席惡意軟件情報(bào)分析師Chris Boyd表示,大部分的攻擊事件,當(dāng)前只是針對直接在NFT領(lǐng)域工作的人。Boyd預(yù)測:“然而,隨著更多主流業(yè)務(wù)開始啟用NFT項(xiàng)目,或者想進(jìn)入?yún)^(qū)塊鏈業(yè)務(wù),NFT的安全問題會(huì)很快成為傳統(tǒng)行業(yè)中不得不考慮的問題?!?
像Gartner和Forrester這樣的分析公司已經(jīng)預(yù)測,在未來的幾年時(shí)間,NFT會(huì)成為企業(yè)戰(zhàn)略中的重要部分。Gartner在2021年的成熟度曲線中將NFT視為新興技術(shù),并且認(rèn)為這類技術(shù)會(huì)在未來十年對商業(yè)和社會(huì)形成最大的影響。Gartner預(yù)計(jì),NTF會(huì)在元宇宙中承擔(dān)奠基層面的角色,幫助企業(yè)通過沉浸式的虛擬工作環(huán)境,為員工和其他人提供更好的聯(lián)系、合作和溝通環(huán)境。
Forrester指出像保險(xiǎn)公司State Farm也通過橄欖球主題的尋寶進(jìn)入NFT領(lǐng)域,代表了越來越多的企業(yè)正在快速投入對NFT進(jìn)行試水。
HBR(Harvard Business Review,哈佛商業(yè)評論)在今年早些時(shí)候?qū)⑵髽I(yè)對NFT初始的推動(dòng)描述為他們開始關(guān)注發(fā)起屬于他們自己的數(shù)字收集品——比如Campbell的湯罐頭藝術(shù)。HBR預(yù)測在未來幾年,NFT會(huì)成為企業(yè)和他們顧客之間的“核心數(shù)字接觸點(diǎn)”。
各種類型的攻擊
Boyd提到,Malwarebytes每天都能觀察到多種不同的NFT和加密貨幣威脅。
“最常見的攻擊,是欺騙那些加密貨幣的狂熱者交出他們錢包的助記詞。”他說到。那些被欺騙成功的用戶經(jīng)常會(huì)永遠(yuǎn)失去他們的加密貨幣,他繼續(xù)說到:“偽造的Airdrop也很常見,也會(huì)要求助記詞或者讓受害者將他們的錢包連接到惡意的Airdrop網(wǎng)站。這些虛假的Airdrop網(wǎng)站基本都是真實(shí)NFT項(xiàng)目網(wǎng)站的偽造品。由于有太多小而未被驗(yàn)證的項(xiàng)目,通常用戶很難分辨孰真孰假?!?
Check Point Software的漏洞相關(guān)產(chǎn)品總監(jiān)Oded Vanunu表示,他的公司觀察到多個(gè)基于NFT的攻擊圍繞挖掘NFT市場和應(yīng)用中的脆弱性展開。
“我們需要理解所有NFT或者加密市場都在使用Web3協(xié)議?!盫anunu說到,直指基于區(qū)塊鏈技術(shù)的一個(gè)新的互聯(lián)網(wǎng)環(huán)境。攻擊者正在試著發(fā)現(xiàn)新的攻擊方式,以利用連接到像區(qū)塊鏈這類分布式網(wǎng)絡(luò)的應(yīng)用中的漏洞。
在過去幾個(gè)月,Check Point Research已經(jīng)發(fā)現(xiàn)了多起攻擊,試圖騙用戶提供NFT平臺(tái)或者錢包的準(zhǔn)入權(quán)限,針對NFT市場漏洞從而獲取屬于數(shù)字藝術(shù)家的NFT。
Check Point還發(fā)現(xiàn)利用惡意NFT挖掘平臺(tái)漏洞的攻擊。Vanunu表示,擁有NFT資產(chǎn)或者加密貨幣資產(chǎn)的組織需要注意這些威脅。用企業(yè)分發(fā)設(shè)備接入NFT市場的企業(yè)用戶也可能會(huì)讓他們的組織置于風(fēng)險(xiǎn)之中。
Lookout的安全解決方案高級經(jīng)理Hank Schless也提到,越來越多基于NFT的詐騙同樣表明攻擊者在使用新的,并且相對未知的方式進(jìn)行攻擊。許多受害者在用加密貨幣購買NFT,卻不完全理解其底層邏輯。比如,那些剛接觸NFT的人可能根本不知道如何驗(yàn)證他們在關(guān)注的數(shù)字資產(chǎn)是否是真的。
攻擊者能夠利用這個(gè)信息差,欺騙攻擊者投標(biāo)假的NFT。在比較昂貴的NFT的資產(chǎn)的時(shí)候,這就會(huì)成為一個(gè)問題——比如一個(gè)主要的投標(biāo)方會(huì)對一大批買家供應(yīng)碎片化的NFT所有權(quán)。
“這些‘組團(tuán)’購買的行為,通常會(huì)在想推特、Reddit和Discord這樣的社交平臺(tái)進(jìn)行協(xié)調(diào),這反而會(huì)給攻擊者有機(jī)會(huì)接觸一大批潛在的受害者?!盨chless說到。盡管說大部分NTF詐騙當(dāng)前依然是針對C端,但一個(gè)攻擊者依然可能可以輕易地用NFT誘騙的方式,將惡意軟件安裝到一個(gè)企業(yè)設(shè)備中,然后獲取企業(yè)數(shù)據(jù)。
Vanunu認(rèn)為,現(xiàn)在是時(shí)候讓組織提升用戶對圍繞NFT產(chǎn)生的威脅的安全意識(shí)了。擁有NFT平臺(tái)或者加密錢包的組織應(yīng)該推動(dòng)多因子驗(yàn)證。他同樣建議采取雙錢包方案:一個(gè)冷錢包保存所有的數(shù)字資產(chǎn),另一個(gè)錢包進(jìn)行小額交易——這樣,即使被攻擊,攻擊者也無法搶走太多的資產(chǎn)。
數(shù)世點(diǎn)評
企業(yè)的新業(yè)務(wù)發(fā)展必然需要擁抱新的技術(shù)——但是新的技術(shù)必然會(huì)面臨新的威脅。區(qū)塊鏈帶來的NFT當(dāng)前來看會(huì)是一個(gè)不錯(cuò)的發(fā)展方向,但是顯然攻擊者永遠(yuǎn)會(huì)捷足先登。目前基于NFT的攻擊主要還是針對于消費(fèi)者層面。固然黑客攻擊會(huì)導(dǎo)致消費(fèi)者對NFT技術(shù)的信心下降,但是由于并非企業(yè)級應(yīng)用,其安全性得到的關(guān)注度可能會(huì)很有局限。但是,對于未來在考慮將NFT作為自己戰(zhàn)略發(fā)展技術(shù)一環(huán)的企業(yè),NFT的安全性應(yīng)該先重視起來了。