信息來源:安全內(nèi)參
最近����,針對線上藝術(shù)家NFT(nonfungible token�����,非同質(zhì)化通證)項目的惡意軟件攻擊表明犯罪份子也開始從數(shù)字貨物日益增長的蛋糕中“獲益”——這對那些越來越多的試圖乘上NFT浪潮進(jìn)行品牌推廣的企業(yè)也有一定的警示作用���。
根據(jù)Malwarebytes的研究人員觀察���,這一系列的攻擊使用到了NFT項目Cyberpunk Ape Executives中的消息系統(tǒng)。這些消息被發(fā)送給在DeviantArt和Pixiv這類在線平臺的數(shù)字藝術(shù)創(chuàng)作者�����,邀請收件人一起和Cyberpunk Ape項目幕后的人員協(xié)作��,創(chuàng)建新的NFT內(nèi)容��。這些信息還保證每天能有350美元的酬勞�。
消息中還有一條鏈接,表示能將收件人引向項目的詳細(xì)信息����。當(dāng)用戶點(diǎn)擊這個鏈接的時候,他們會跳轉(zhuǎn)到一個網(wǎng)站���,下載多幅猩猩的圖片�,作為該項目NFT的例子�。其中的一副圖片是可執(zhí)行文件����,會在打開的時候感染用戶的系統(tǒng)���,并植入信息竊取腳本����。
Malwarebytes表示��,他們已經(jīng)發(fā)現(xiàn)Pixiv和DeviantArt等平臺上多名用戶聲稱他們的賬戶被用于散布同樣的Cyberpunk Ape Executive NFT項目欺詐信息����。Malwarebytes表示他們無法確認(rèn)信息竊取腳本本身是否會導(dǎo)致賬號信息泄露��,還是這又是其他釣魚攻擊的結(jié)果�。
NFT相關(guān)的網(wǎng)絡(luò)犯罪:一個快速增長的威脅
這次的攻擊事件只是近來暴增的基于NFT的攻擊事件之一。Malwarebytes的首席惡意軟件情報分析師Chris Boyd表示�����,大部分的攻擊事件����,當(dāng)前只是針對直接在NFT領(lǐng)域工作的人���。Boyd預(yù)測:“然而,隨著更多主流業(yè)務(wù)開始啟用NFT項目���,或者想進(jìn)入?yún)^(qū)塊鏈業(yè)務(wù)����,NFT的安全問題會很快成為傳統(tǒng)行業(yè)中不得不考慮的問題����。”
像Gartner和Forrester這樣的分析公司已經(jīng)預(yù)測��,在未來的幾年時間�����,NFT會成為企業(yè)戰(zhàn)略中的重要部分�����。Gartner在2021年的成熟度曲線中將NFT視為新興技術(shù)����,并且認(rèn)為這類技術(shù)會在未來十年對商業(yè)和社會形成最大的影響����。Gartner預(yù)計���,NTF會在元宇宙中承擔(dān)奠基層面的角色��,幫助企業(yè)通過沉浸式的虛擬工作環(huán)境��,為員工和其他人提供更好的聯(lián)系�����、合作和溝通環(huán)境���。
Forrester指出像保險公司State Farm也通過橄欖球主題的尋寶進(jìn)入NFT領(lǐng)域�����,代表了越來越多的企業(yè)正在快速投入對NFT進(jìn)行試水����。
HBR(Harvard Business Review,哈佛商業(yè)評論)在今年早些時候?qū)⑵髽I(yè)對NFT初始的推動描述為他們開始關(guān)注發(fā)起屬于他們自己的數(shù)字收集品——比如Campbell的湯罐頭藝術(shù)�����。HBR預(yù)測在未來幾年,NFT會成為企業(yè)和他們顧客之間的“核心數(shù)字接觸點(diǎn)”�。
各種類型的攻擊
Boyd提到,Malwarebytes每天都能觀察到多種不同的NFT和加密貨幣威脅��。
“最常見的攻擊���,是欺騙那些加密貨幣的狂熱者交出他們錢包的助記詞�����?���!彼f到�。那些被欺騙成功的用戶經(jīng)常會永遠(yuǎn)失去他們的加密貨幣,他繼續(xù)說到:“偽造的Airdrop也很常見���,也會要求助記詞或者讓受害者將他們的錢包連接到惡意的Airdrop網(wǎng)站��。這些虛假的Airdrop網(wǎng)站基本都是真實(shí)NFT項目網(wǎng)站的偽造品���。由于有太多小而未被驗證的項目��,通常用戶很難分辨孰真孰假����?!?
Check Point Software的漏洞相關(guān)產(chǎn)品總監(jiān)Oded Vanunu表示,他的公司觀察到多個基于NFT的攻擊圍繞挖掘NFT市場和應(yīng)用中的脆弱性展開�。
“我們需要理解所有NFT或者加密市場都在使用Web3協(xié)議?�!盫anunu說到����,直指基于區(qū)塊鏈技術(shù)的一個新的互聯(lián)網(wǎng)環(huán)境。攻擊者正在試著發(fā)現(xiàn)新的攻擊方式����,以利用連接到像區(qū)塊鏈這類分布式網(wǎng)絡(luò)的應(yīng)用中的漏洞。
在過去幾個月�,Check Point Research已經(jīng)發(fā)現(xiàn)了多起攻擊�����,試圖騙用戶提供NFT平臺或者錢包的準(zhǔn)入權(quán)限�,針對NFT市場漏洞從而獲取屬于數(shù)字藝術(shù)家的NFT����。
Check Point還發(fā)現(xiàn)利用惡意NFT挖掘平臺漏洞的攻擊��。Vanunu表示��,擁有NFT資產(chǎn)或者加密貨幣資產(chǎn)的組織需要注意這些威脅����。用企業(yè)分發(fā)設(shè)備接入NFT市場的企業(yè)用戶也可能會讓他們的組織置于風(fēng)險之中。
Lookout的安全解決方案高級經(jīng)理Hank Schless也提到����,越來越多基于NFT的詐騙同樣表明攻擊者在使用新的,并且相對未知的方式進(jìn)行攻擊���。許多受害者在用加密貨幣購買NFT��,卻不完全理解其底層邏輯��。比如��,那些剛接觸NFT的人可能根本不知道如何驗證他們在關(guān)注的數(shù)字資產(chǎn)是否是真的��。
攻擊者能夠利用這個信息差����,欺騙攻擊者投標(biāo)假的NFT。在比較昂貴的NFT的資產(chǎn)的時候��,這就會成為一個問題——比如一個主要的投標(biāo)方會對一大批買家供應(yīng)碎片化的NFT所有權(quán)�。
“這些‘組團(tuán)’購買的行為,通常會在想推特�、Reddit和Discord這樣的社交平臺進(jìn)行協(xié)調(diào),這反而會給攻擊者有機(jī)會接觸一大批潛在的受害者����。”Schless說到����。盡管說大部分NTF詐騙當(dāng)前依然是針對C端,但一個攻擊者依然可能可以輕易地用NFT誘騙的方式�����,將惡意軟件安裝到一個企業(yè)設(shè)備中���,然后獲取企業(yè)數(shù)據(jù)��。
Vanunu認(rèn)為�����,現(xiàn)在是時候讓組織提升用戶對圍繞NFT產(chǎn)生的威脅的安全意識了�。擁有NFT平臺或者加密錢包的組織應(yīng)該推動多因子驗證�。他同樣建議采取雙錢包方案:一個冷錢包保存所有的數(shù)字資產(chǎn),另一個錢包進(jìn)行小額交易——這樣�,即使被攻擊,攻擊者也無法搶走太多的資產(chǎn)��。
數(shù)世點(diǎn)評
企業(yè)的新業(yè)務(wù)發(fā)展必然需要擁抱新的技術(shù)——但是新的技術(shù)必然會面臨新的威脅����。區(qū)塊鏈帶來的NFT當(dāng)前來看會是一個不錯的發(fā)展方向,但是顯然攻擊者永遠(yuǎn)會捷足先登���。目前基于NFT的攻擊主要還是針對于消費(fèi)者層面�。固然黑客攻擊會導(dǎo)致消費(fèi)者對NFT技術(shù)的信心下降�����,但是由于并非企業(yè)級應(yīng)用��,其安全性得到的關(guān)注度可能會很有局限。但是�,對于未來在考慮將NFT作為自己戰(zhàn)略發(fā)展技術(shù)一環(huán)的企業(yè),NFT的安全性應(yīng)該先重視起來了�。
