信息來源:安全內(nèi)參
最近,針對線上藝術(shù)家NFT(nonfungible token,非同質(zhì)化通證)項目的惡意軟件攻擊表明犯罪份子也開始從數(shù)字貨物日益增長的蛋糕中“獲益”——這對那些越來越多的試圖乘上NFT浪潮進行品牌推廣的企業(yè)也有一定的警示作用。
根據(jù)Malwarebytes的研究人員觀察,這一系列的攻擊使用到了NFT項目Cyberpunk Ape Executives中的消息系統(tǒng)。這些消息被發(fā)送給在DeviantArt和Pixiv這類在線平臺的數(shù)字藝術(shù)創(chuàng)作者,邀請收件人一起和Cyberpunk Ape項目幕后的人員協(xié)作,創(chuàng)建新的NFT內(nèi)容。這些信息還保證每天能有350美元的酬勞。
消息中還有一條鏈接,表示能將收件人引向項目的詳細(xì)信息。當(dāng)用戶點擊這個鏈接的時候,他們會跳轉(zhuǎn)到一個網(wǎng)站,下載多幅猩猩的圖片,作為該項目NFT的例子。其中的一副圖片是可執(zhí)行文件,會在打開的時候感染用戶的系統(tǒng),并植入信息竊取腳本。
Malwarebytes表示,他們已經(jīng)發(fā)現(xiàn)Pixiv和DeviantArt等平臺上多名用戶聲稱他們的賬戶被用于散布同樣的Cyberpunk Ape Executive NFT項目欺詐信息。Malwarebytes表示他們無法確認(rèn)信息竊取腳本本身是否會導(dǎo)致賬號信息泄露,還是這又是其他釣魚攻擊的結(jié)果。
NFT相關(guān)的網(wǎng)絡(luò)犯罪:一個快速增長的威脅
這次的攻擊事件只是近來暴增的基于NFT的攻擊事件之一。Malwarebytes的首席惡意軟件情報分析師Chris Boyd表示,大部分的攻擊事件,當(dāng)前只是針對直接在NFT領(lǐng)域工作的人。Boyd預(yù)測:“然而,隨著更多主流業(yè)務(wù)開始啟用NFT項目,或者想進入?yún)^(qū)塊鏈業(yè)務(wù),NFT的安全問題會很快成為傳統(tǒng)行業(yè)中不得不考慮的問題。”
像Gartner和Forrester這樣的分析公司已經(jīng)預(yù)測,在未來的幾年時間,NFT會成為企業(yè)戰(zhàn)略中的重要部分。Gartner在2021年的成熟度曲線中將NFT視為新興技術(shù),并且認(rèn)為這類技術(shù)會在未來十年對商業(yè)和社會形成最大的影響。Gartner預(yù)計,NTF會在元宇宙中承擔(dān)奠基層面的角色,幫助企業(yè)通過沉浸式的虛擬工作環(huán)境,為員工和其他人提供更好的聯(lián)系、合作和溝通環(huán)境。
Forrester指出像保險公司State Farm也通過橄欖球主題的尋寶進入NFT領(lǐng)域,代表了越來越多的企業(yè)正在快速投入對NFT進行試水。
HBR(Harvard Business Review,哈佛商業(yè)評論)在今年早些時候?qū)⑵髽I(yè)對NFT初始的推動描述為他們開始關(guān)注發(fā)起屬于他們自己的數(shù)字收集品——比如Campbell的湯罐頭藝術(shù)。HBR預(yù)測在未來幾年,NFT會成為企業(yè)和他們顧客之間的“核心數(shù)字接觸點”。
各種類型的攻擊
Boyd提到,Malwarebytes每天都能觀察到多種不同的NFT和加密貨幣威脅。
“最常見的攻擊,是欺騙那些加密貨幣的狂熱者交出他們錢包的助記詞。”他說到。那些被欺騙成功的用戶經(jīng)常會永遠(yuǎn)失去他們的加密貨幣,他繼續(xù)說到:“偽造的Airdrop也很常見,也會要求助記詞或者讓受害者將他們的錢包連接到惡意的Airdrop網(wǎng)站。這些虛假的Airdrop網(wǎng)站基本都是真實NFT項目網(wǎng)站的偽造品。由于有太多小而未被驗證的項目,通常用戶很難分辨孰真孰假。”
Check Point Software的漏洞相關(guān)產(chǎn)品總監(jiān)Oded Vanunu表示,他的公司觀察到多個基于NFT的攻擊圍繞挖掘NFT市場和應(yīng)用中的脆弱性展開。
“我們需要理解所有NFT或者加密市場都在使用Web3協(xié)議。”Vanunu說到,直指基于區(qū)塊鏈技術(shù)的一個新的互聯(lián)網(wǎng)環(huán)境。攻擊者正在試著發(fā)現(xiàn)新的攻擊方式,以利用連接到像區(qū)塊鏈這類分布式網(wǎng)絡(luò)的應(yīng)用中的漏洞。
在過去幾個月,Check Point Research已經(jīng)發(fā)現(xiàn)了多起攻擊,試圖騙用戶提供NFT平臺或者錢包的準(zhǔn)入權(quán)限,針對NFT市場漏洞從而獲取屬于數(shù)字藝術(shù)家的NFT。
Check Point還發(fā)現(xiàn)利用惡意NFT挖掘平臺漏洞的攻擊。Vanunu表示,擁有NFT資產(chǎn)或者加密貨幣資產(chǎn)的組織需要注意這些威脅。用企業(yè)分發(fā)設(shè)備接入NFT市場的企業(yè)用戶也可能會讓他們的組織置于風(fēng)險之中。
Lookout的安全解決方案高級經(jīng)理Hank Schless也提到,越來越多基于NFT的詐騙同樣表明攻擊者在使用新的,并且相對未知的方式進行攻擊。許多受害者在用加密貨幣購買NFT,卻不完全理解其底層邏輯。比如,那些剛接觸NFT的人可能根本不知道如何驗證他們在關(guān)注的數(shù)字資產(chǎn)是否是真的。
攻擊者能夠利用這個信息差,欺騙攻擊者投標(biāo)假的NFT。在比較昂貴的NFT的資產(chǎn)的時候,這就會成為一個問題——比如一個主要的投標(biāo)方會對一大批買家供應(yīng)碎片化的NFT所有權(quán)。
“這些‘組團’購買的行為,通常會在想推特、Reddit和Discord這樣的社交平臺進行協(xié)調(diào),這反而會給攻擊者有機會接觸一大批潛在的受害者?!盨chless說到。盡管說大部分NTF詐騙當(dāng)前依然是針對C端,但一個攻擊者依然可能可以輕易地用NFT誘騙的方式,將惡意軟件安裝到一個企業(yè)設(shè)備中,然后獲取企業(yè)數(shù)據(jù)。
Vanunu認(rèn)為,現(xiàn)在是時候讓組織提升用戶對圍繞NFT產(chǎn)生的威脅的安全意識了。擁有NFT平臺或者加密錢包的組織應(yīng)該推動多因子驗證。他同樣建議采取雙錢包方案:一個冷錢包保存所有的數(shù)字資產(chǎn),另一個錢包進行小額交易——這樣,即使被攻擊,攻擊者也無法搶走太多的資產(chǎn)。
數(shù)世點評
企業(yè)的新業(yè)務(wù)發(fā)展必然需要擁抱新的技術(shù)——但是新的技術(shù)必然會面臨新的威脅。區(qū)塊鏈帶來的NFT當(dāng)前來看會是一個不錯的發(fā)展方向,但是顯然攻擊者永遠(yuǎn)會捷足先登。目前基于NFT的攻擊主要還是針對于消費者層面。固然黑客攻擊會導(dǎo)致消費者對NFT技術(shù)的信心下降,但是由于并非企業(yè)級應(yīng)用,其安全性得到的關(guān)注度可能會很有局限。但是,對于未來在考慮將NFT作為自己戰(zhàn)略發(fā)展技術(shù)一環(huán)的企業(yè),NFT的安全性應(yīng)該先重視起來了。