NFT網絡攻擊知多些多管齊下保交易安全

社會近期熱論的「非同質化代幣」（NFT，Non-Fungible Token）可以解讀為一張擁有權證明書，代表閣下擁有某項資產。現時大多熱賣的NFT都是以頭像圖片為主，發售者會以獨特的設計及限量發售等技巧吸引買家，買家可在社交媒體向全世界展示自己是圖片的其一擁有人，提昇社交能力。而現時資產種類亦已從數碼延伸至實體，例如藝術品或地產項目等，讓NFT 成潮流字眼，風頭一時無兩，令擁有NFT 成為身份象徵，吸引更多人參與。香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT ）最近就發佈了一系列有關NFT網絡攻擊的資訊，希望可以幫到大家，

NFT 生態系統

來源： Understanding Security Issues in the NFT Ecosystem, November 2021, University of California, Santa Barbara

近期涉及NFT 的網絡保安事故

隨著NFT 熱潮普及和價值上升，不法分子會透過各種方式攻擊NFT生態系統中的不同環節，以盜取他人NFT 資產甚至加密貨幣。2021年12下旬，以著名故事人物孫悟空為主題的 NFT 項目《Monkey Kingdom》在Discord社群（一個社交媒體軟件）被黑客入侵。黑客假扮成群組管理員發佈虛假交易平台連結，實際上是一個釣魚網站。用戶在沒有仔細留意網址的情況下按入連結，加密錢包內SOL （一種虛擬交易貨幣）被盜取，總金額涉及約130萬美元（約1千萬港元）。

來源： https://twitter.com/opensea/status/1495625768713469954

另外，2022年2月，有黑客透過假冒大型NFT交易平台OpenSea 發出釣魚電郵，藉此欺騙用戶簽署有問題的智能合約，把NFT 傳送到黑客的錢包中，受影響用戶合共損失約170萬美元（約1千3百萬港元）。

此外，早於1月，有用戶發現OpenSea 網站存在保安漏洞。用戶可以用遠低於價格下限的1%購買NFT 項目，例如「無聊猿猴遊艇俱樂部」（Bored Ape Yacht Club／BAYC），令持有人損失慘重。除了網站漏洞令持有人有所損失外，NFT 侵權行為也很猖獗。例如運動品牌Nike 於2022年2月起訴二手銷售平台StockX，控告該平台未經同意下擅自把其商標鑄造 NFT ，盼利用Nike 知名度圖利。

針對NFT 及相關平台的攻擊種類

香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT ）表示，大部份涉及NFT的網絡攻擊都是圍繞用家及交易平台，主要可分為以下三類：

1. 網絡釣魚
a)     騙取加密錢包恢復短語
黑客透過電郵、短訊或 Discord發送假網站連結，假網站版面與加密錢包一樣，要求加密錢包用戶輸入恢復短語，黑客獲得短語便可完全控制加密錢包內的資產。除假網站外，其他騙取恢復短語手法包括偽冒電腦技術人員訛稱提供協助。
b)     假交易訊息轉走錢包資產
假NFT 平台會彈出交易訊息，要求用戶連接錢包及簽署以確認交易，但其實是讓黑客將資產轉移至其帳戶。

2. NFT 平台保安漏洞
NFT 平台的運作其實類似網購平台，由供應商開發及營運。現時網絡上有多個較受歡迎的NFT 平台，而漏洞通常是因在平台設計及開發階段時對保安缺乏足夠考慮所出現。此類保安漏洞亦是黑客的攻擊目標之一，例如黑客可上載含有惡意程式碼的作品，入侵缺乏雙重身分驗證的帳戶，或藉由保安設計的缺陷以低價購入NFT 轉售圖利。

3. 香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT ）表示，大部份涉及NFT的網絡攻擊都是圍繞用家及交易平台，主要可分為以下三類：

1. 網絡釣魚
a)     騙取加密錢包恢復短語
黑客透過電郵、短訊或 Discord發送假網站連結，假網站版面與加密錢包一樣，要求加密錢包用戶輸入恢復短語，黑客獲得短語便可完全控制加密錢包內的資產。除假網站外，其他騙取恢復短語手法包括偽冒電腦技術人員訛稱提供協助。
b)     假交易訊息轉走錢包資產
假NFT 平台會彈出交易訊息，要求用戶連接錢包及簽署以確認交易，但其實是讓黑客將資產轉移至其帳戶。

2. NFT 平台保安漏洞
NFT 平台的運作其實類似網購平台，由供應商開發及營運。現時網絡上有多個較受歡迎的NFT 平台，而漏洞通常是因在平台設計及開發階段時對保安缺乏足夠考慮所出現。此類保安漏洞亦是黑客的攻擊目標之一，例如黑客可上載含有惡意程式碼的作品，入侵缺乏雙重身分驗證的帳戶，或藉由保安設計的缺陷以低價購入NFT 轉售圖利。

3.香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT ）表示，大部份涉及NFT的網絡攻擊都是圍繞用家及交易平台，主要可分為以下三類：

1. 網絡釣魚
a)     騙取加密錢包恢復短語
黑客透過電郵、短訊或 Discord發送假網站連結，假網站版面與加密錢包一樣，要求加密錢包用戶輸入恢復短語，黑客獲得短語便可完全控制加密錢包內的資產。除假網站外，其他騙取恢復短語手法包括偽冒電腦技術人員訛稱提供協助。
b)     假交易訊息轉走錢包資產
假NFT 平台會彈出交易訊息，要求用戶連接錢包及簽署以確認交易，但其實是讓黑客將資產轉移至其帳戶。

2. NFT 平台保安漏洞
NFT 平台的運作其實類似網購平台，由供應商開發及營運。現時網絡上有多個較受歡迎的NFT 平台，而漏洞通常是因在平台設計及開發階段時對保安缺乏足夠考慮所出現。此類保安漏洞亦是黑客的攻擊目標之一，例如黑客可上載含有惡意程式碼的作品，入侵缺乏雙重身分驗證的帳戶，或藉由保安設計的缺陷以低價購入NFT 轉售圖利。

3. 假冒或侵權作品
由於大部份的NFT 作品都是圖片，所以NFT 熱賣亦吸引抄襲者「偷圖」再於其他平台出售。此外，一些公司商標和名人頭像亦在未經當事人同意下，被製成NFT 出售。現時世界各地都未有法規監管NFT 買賣，而社會上一般認為NFT 只代表資產擁有權，對於版權屬誰則未有定論。NFT 擁有人的權利不清晰及追究困難，令購入假冒或侵權NFT 的事主蒙受精神及金錢上的損失。

如何安全地進行NFT 交易 HKCERT建議參與NFT買賣的人士應注意以下事項來保障個人利益：

*切勿任意點擊來歷不明的電郵、短訊或社交媒體內的超連結或附件
*使用瀏覽器書籤功能來儲存NFT交易平台網址，避免使用其他人發送的連結登入平台
*啟用雙重或多重身份驗證功能切勿向第三者透露錢包的恢復短語設置臨時錢包，只儲存適量的加密幣作交易用
*簽署任何合約前應小心核實所有資料，了解當中條款及潛在風險
*檢視自己的NFT的存取授權，撤銷過去有問題或不確定用途的授權
*購買NFT前，應做足資料搜集，了解設計者的身分，並檢查NFT的介紹資料是否齊全（如其他用戶評論、過往交易、是否原創作品等）；如平台有移除侵權的NFT機制，用戶可向支援人員查詢

另外，大家在使用NFT交易常用的社交媒體軟件Discord 通訊時要留心。用戶要小心查證與官方公開資料不符的訊息及網站連結，如發現平台上的NFT價值與官方公佈的不同，應提高警覺；平台管理員則要啟用雙重認證及設定各管理人員的權限。同時，亦要留意NFT元數據（metadata）及作品的儲存方法，建議使用免費區塊鏈資料查詢平台（例如 etherscan、polyscan）來檢視NFT作品的存放位置，或向賣家直接查詢。

這篇文章 NFT網絡攻擊知多些多管齊下保交易安全最早出現於 TechApple.com。

隨機商業新聞