2021 年,一只「无聊猿」搅动世界。作为一个 NFT 项目,「无聊猿」从当年 4 月上市至今,交易总额已突破 20 亿美元。
2021 年,一只「无聊猿」搅动世界。作为一个 NFT 项目,「无聊猿」从当年 4 月上市至今,交易总额已突破 20 亿美元。2022 年 3 月,创作团队 Yugalabs 在融资中估值已超过 40 亿美元。中国的 NFT 始于「数字藏品」,也就是对于特定的文化商品、艺术品,利用数字技术生成对应的数字凭证,在保护其数字版权的基础上,实现真实可信的数字化发行、购买、收藏和使用。
NFT 的应用场景很多,艺术作品、收藏品、时尚娱乐、游戏内物品,还有体育竞技、身份验证、保险、电子门票等,但是最广为人知的是数字艺术和游戏。每件艺术品都可以通过 NFT 的形式呈现,不仅保护版权,更可以验证购买艺术品的真实性。在元宇宙加持下的游戏,能够通过 NFT 记录玩家在游戏内物武器、装备、角色等,确保物品交换、交易、获取时的真实性。同时,NFT 良好实现了实物的数字资产化,对数字艺术更好的定价与流通。
2022 年 4 月,工业和信息化部工业文化发展中心发布《关于征集首批工业文化数字藏品的通知》。首批工业文化数字藏品素材的征集对象包括国家工业遗产单位、工业博物馆、企事业单位、行业组织,重点征集反映中国工业发展历程中重大事件、重大成果、关键人物和核心技术等具有代表性的经典产品、藏品的历史照片、图片、资料等素材。截至 2022 年 4 月,中国正式上线的数字藏品平台超过 50 个,国内互联网巨头相继推出数字藏品发行平台。
NFT 数字收藏品的大量涌入,让轻松赚钱为欺诈活动创造了完美的激励组合。2022 年 6 月,顶象防御云业务安全情报中心就监测到,某 NFT 数字藏品平台促销活动中同时遭遇「刷量」和「薅羊毛」双重业务欺诈。黑灰产首先为不符合标准的 NFT 平台用户做刷榜刷量推广,帮助其快速获得平台奖励。然后利用刷量的账号,哄抢 NFT 平台发行的数字藏品,再通过社群论坛低价转售,给该 NFT 平台造成数千万元的经济损失。
顶象防御云业务安全情报中心分析发现,2022 年,NFT 数字藏品风险迭出。
8 成为虚假请求
监测发现,2022 年 NFT 数字藏品薅羊毛异常猖獗。以营销场景为例。只有 17.9% 是正常访问请求,高达 82.1% 为风险请求。NFT 数字藏品备受瞩目,短短几个月,平台和藏品暴增,用户还在熟悉摸索中,在泡沫倾向化下,黑灰产捷足先登。
7 月攻击最多
从黑灰产攻击月份来看,攻击最严重的是 7 月,其次是 6 月、5 月、8 月。当时也正是 NFT 数字藏品概念最受关注的几个月份。7 月,三七互娱发行了首期国家文化公园主题数字藏品。6 月,哔哩哔哩发布「干杯! 京剧」系列数字藏品。该藏品经梅兰芳文化科技有限公司授权,每款藏品均融入不同的中国戏曲元素,更有「文化巨匠」梅兰芳先生的经典扮相,展现出中国戏曲之美,致敬国粹文化。8 月,周杰伦与某数字藏品平台「发售「周杰伦限定珍藏 DEMO 空间」。5 月,在保利厦门宇宙唯艺拍卖专场中,两款版权品分别拍出 48.3 万和 20.7 万的高价,成为国内数字藏品行业最为鼎盛时期的标志性事件之一。
下午 13 点攻击最猛烈
监测发现,黑灰产在下午 13 点至 16 点攻击最猛烈。深夜 0-6 点,依然高频访问,且每小时的访问量极为接近,符合自动化工具行为特征。
风险原因分析
顶象防御云业务安全情报中心分析发现,大多数 NFT 数字藏品平台营销反作弊的风控意识薄弱,没有部署对应的安全防护,在黑灰产眼里近乎裸奔,导致黑灰产可以用低成本的机刷攻击方式,自动化程序批量注册、批量养号、自动化领券、抽奖、虚假流量等方式薅取营销奖励。不仅给 NFT 数字藏品平台带来的直接经济损失,损害用户应有权益,更带来大量的无价值的虚假用户,破坏了正常经营秩序。
统计显示,黑灰产主要采用如下几个欺诈方式。
在注册场景:黑灰产通过接码平台、打码平台、代理 IP、脚本软件等作弊工具,实现批量自动化账号注册。
在投票场景:黑灰产使用「秒拨」客户端软件,进行简单配置后,就可以实现自动变换 IP 地址,以规避平台的 IP 频次限制安全策略,实现对某一选项的海量投票刷榜。
在交易场景:黑灰产通过群控软件,操控大量账号,短时间内完成指定商品的抢购。
防御云的防控建议
国内 NFT 数字藏品为了避免风险,不允许数字藏品二次交易,购买者也只拥有收藏权和有限转赠权。NFT 数字藏品平台如何保障安全,给品牌、消费者和企业带来的价值?
基于 NFT 数字藏品特征以及风险态势分析,顶象防御云业务安全情报中心建议 NFT 平台在事前防御、事中识别、事后处置的安全体系,以有效防各类欺诈行为,保障业务健康运行。
事前全链路防控
保障客户端安全:NFT 平台的 APP 和网页,可以分别部署端加固及 H5 混淆防护,以保障客户端安全。
提前环境检测安全:客户端集成安全 SDK 以后,定期对 App 的运行环境进行检测,检查是否有代码注入、hook、模拟器、云手机、调试、代理、VPN、root、越狱等风险。
保障通讯传输安全:业务的通信传输中,黑灰产可能会篡改通信报文中的一些数据,通过对前端 SDK 进行加固,在通讯链路采用国密算法进行加密,防止终端安全检测模块的数据被篡改和冒用。
事中风险识别和拦截
多场景下人机安全验证:在注册、登录、抽奖、抢购等业务场景下部署顶象无感验证,有效识别机器行为,拦截垃圾注册、批量登录。
结合手机号黑名单识别注册登录风险:黑灰产会使用虚拟号段、连号手机号以及没有任何号段特征的黑产小号来注册,通过风险手机号有效识别风险号码。
结合 IP 黑名单识别刷票风险:黑灰产刷票时,会采用 IP 代理池进行「机刷」,IP 风险库能够有效识别恶意 IP 地址。
结合决策引擎实现实时防控:接入实时决引擎,基于业务数据和风险数据,制定不同安全策略,快速有效识别并拦截注册、登录、抢购等场景欺诈行为及营销作弊行为。其中风控维度
事后风险处置
根据业务实际需求,顶象防御云业务安全情报中心提供两种处置建议。
1、风险数据打标。注册、登录场景识别风险后先不实时反馈结果给用户,先沉淀风险名单,供抽奖、抢购场景调用。如在抽奖场景将风险名单设置为黑名单,给用户返回未抽中,或直接发价值不高的普惠奖。
2、线上实时反馈。对识别为风险的请求进行实时拦截,直接显示请求成功或者失败,恶意行为用户直接冻结账号。
基于处置建议,顶象推荐如下技术产品。
1、顶象智能验证码。顶象无感验证以防御云为核心,集 13 种验证方式,多种防控策略,以智能验证码服务、验证决策引擎服务、设备指纹服务、人机模型服务为一体的云端交互安全验证系统。其汇集了 4380 条风险策略、112 类风险情报、覆盖 24 个行业、118 种风险类型,防控精准度>99.9%,1 天内便可实现从风险到情报的转化,行业风险感知能力实力加强,同时支持安全用户无感通过,实时对抗处置能力更是缩减至 60s 内。
2、顶象端加固。作为顶象防御云的一部分,顶象端加固支持安卓、iOS、H5、小程序等平台,独有云策略、业务安全情报和大数据建模。基于防御云,顶象端加固能够为 App 提供移动应用运行进行安全监测,对移动应用运行时终端设备、运行环境、操作行为进行实时监测,帮助 App 建立运行时风险的监测、预警、阻断和溯源安全体系。
3、顶象设备指纹。作为顶象防御云的一部分,顶象设备指纹集成了业务安全情报、云策略和数据模型,通过用户上网设备的硬件、网络、环境等特征信息生成设备的唯一标识,覆盖安卓、iOS、H5、小程序,可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险,做到有效监控和拦截。
4、顶象风控引擎。顶象 Dinsight 实时风控引擎可以在营销活动、支付下单、信贷申请等场景,对业务前端发送的请求进行风险判断,并于毫秒内返回决策结果,以提升业务系统对风险的防控能力。日常风控策略的平均处理速度仅需 20 毫秒,聚合数据引擎,集成专家策略,支持对现有风控流程的并行监测、替换升级,也可为新业务构建专用风控平台;聚合反欺诈与风控数据,支持多方数据的配置化接入与沉淀,能够进行图形化配置,并快速应用于复杂策略与模型;能够基于成熟指标、策略、模型的经验储备,以及深度学习技术,实现风控自我性能监控与自迭代的机制;集成专家策略,基于系统+数据接入+指标库+策略体系+专家实施的实战;支持对现有风控流程的并行监测、替换升级,也可为新业务构建专用风控平台。
来源:互联网
