試問,當下國內持續火爆的產品是什麼?常年混跡於網際網路的時代弄潮兒毫無疑問會給出答案——非“數字藏品”莫屬。每小時都有數起關於數字藏品的資訊不斷重新整理,各家大廠、私企、名人,甚至央企都相繼入局,頗有年度熱詞之風。
數字時代的“文藝復興”似乎到來,作為新風口,數字藏品的參與人數和市場規模增長迅速,而比較傳統文創,數字藏品更增年輕時尚氣息,同時,數字化屬性打破了時空限制,限量和唯一性增加了它的收藏價值,更符合新消費需求。頻繁的資訊流刷屏,也讓更多人眼熟數字藏品並且躍躍欲試;而另一層面,數字藏品不斷的負面資訊以及監管資訊也讓眾多使用者和平臺提心吊膽,使用者怕被割韭菜,平臺怕出業務安全事故。
針對時下火熱的數字藏品亂象,頂象《業務安全大講堂》系列直播課中,史博老師起底NFT和數字藏品,詳細講解數字藏品以及其背後面臨的業務安全風險和應對防控措施,為意欲入局數字藏品的多方答疑解惑。
起底NFT和數字藏品概念
NFT和數字藏品的關係可謂是相近但不同。NFT(Non-Fungible Token)是基於區塊鏈技術的一種非同質化代幣,本質上是加密貨幣的一種。NFT的創新之處在於它在區塊鏈平臺上得到確權,具備唯一性,且不可篡改和複製。理論上“萬物皆可NFT”,利用NFT技術所形成的數字資產可以是一張動圖、一幅畫、一個頭像、一段影片,甚至是一段文字內容。因為發行和流通平臺的去中心化,使得這種數字資產更加公開、透明、難以偽造和虛增,因而成為密碼貨幣和token之後新的投資熱點。
2021年始,自NFT傳入國內以來,迅速爆發的態勢和瘋狂增長的局面使其合規化成為必然。在合規發展要求下,數字藏品應運而生。簡單理解國內風頭正盛的數字藏品就是中國特色的受監管的NFT。同樣於NFT,數字藏品也是採用區塊鏈技術,且在區塊鏈上有自己的唯一標識記錄,這使得數字藏品沒有辦法篡改,也沒有辦法替代,因此具備了自身的唯一性,有了自己的稀缺性,並且實現可追溯性,即誰發行的這個數字藏品、誰購買了這個數字藏品、最終誰擁有的這個數字藏品都清晰可知。這也使得大家願意去購買數字藏品,使其具備了收藏價值。
此外,數字藏品的興起,不僅僅是因為它拓寬了傳統藝術品的數字化空間,也不僅僅是因為它藉助區塊鏈技術,為數字藝術品的確權與交易提供了有效的方式。更重要的意義在於,在“元宇宙”的開發浪潮中,數字藏品可以成為元宇宙中數字資產憑證的一種表現形式,並且將隨著元宇宙的發展逐步演進。
數字藏品之於NFT的具體區別,主要將其金融屬性和交易屬性相對弱化。(如圖)
數字藏品成為了黑灰產的“香餑餑”
無論是NFT還是數字藏品,都擁有著潛力巨大的市場空間,現有的增長率已十分高,但同時也面臨著各種各樣的風險。首先,數字藏品需要在平臺上發行,那平臺方面臨的業務風險問題層出不窮,監管合規、賬號安全保障、產權保護等;其次數字藏品購買使用者本身,也會面臨一些釣魚、詐騙等問題致使被盜或虧損,且因為二級市場的存在,仍會有炒作風險存在;最後對於開發商而言,數字藏品開發出來後,選哪個平臺上架?平臺是否安全?數字藏品在上面是否有遺失風險?這些問題都是需要慎重考慮的,因為數字藏品不可再生,一旦遺失就是資產損失。
5月17日,某著名數字藏品平臺,資料庫被黑灰產攻擊,利用虛假餘額購買盜取玩家藏品,使得數字藏品的價值,瞬間瘋漲上千倍,近千萬元價格的藏品均被“秒賣”,事後平臺報警。這對於真正參與數字藏品的玩家,於其中並沒有得到任何收益,甚至造成了大量資產損失,而黑灰產,則將上千萬的數字數字藏品輕鬆到手。除此之外,自該平臺上線以來,曾多次出現系統問題,包括使用者無法登入、卡頓、伺服器繁忙報錯、驗證碼頻繁輸入等問題。
此外經過頂象長期跟蹤監測,國內當下已湧現出了非常多的NFT/數字藏品交易平臺,黑灰產憑藉強大的技術能力以及敏銳的市場嗅覺,使得每個平臺都已出現一款甚至多款針對性的攻擊軟體。這些攻擊軟體均可實現監控數字藏品的上線、鎖單、提醒、利潤分成等基礎的自動化能力。
而高階版功能會更強大,某款NFT搶購軟體可以監控平臺上NFT上線的情況,然後自動化的去發現價值被低估的NFT並進行撿漏,同樣能實現在新品發行過程中搶購秒殺,鎖單不讓別人去搶,而整套軟體僅需188元/月,即可無限制的對各平臺發起攻擊,成本非常低,只要拿到一個數千塊的數字藏品,成本就收回來了,並且利潤率非常高。而這樣系列的標準化工具一旦出現,連普通人都不知不覺的被參與到黑灰產行為中來,殊不知這些其實都是違法行為。
面對黑灰產猛烈攻勢的數字藏品安全場景,該怎樣去做風險防控?史博老師給出了4個關鍵點。
首先平臺方需要做好終端安全防控,防止APP被破解,防止使用者手上的裝置被惡意利用;其次,做到介面安全,在介面層面保護資料鏈路,防止被中間人攻擊、不被偽造篡改等;同時在賬號層面,增設新一代智慧無感驗證碼做好人機識別,保障賬戶安全,謹防黑灰產機器流量;最後在交易過程中,做好對惡意搶購的監控和鎖單撿漏的識別和防護。透過構建上述提到的完整安全防護,以此來對抗黑灰產工具產生的相關攻擊。
天下熙熙,皆為利來,天下攘攘,皆為利往。黑灰產的攻擊從來不限制於平臺區別,屬於無差別攻擊,一旦平臺有利可圖,只要上面有錢可賺,黑灰產一定會嘗試發起攻擊和牟利。對於企業而言,更重要的就是樹立風險防控的意識,建立好事前事中事後的全業務全流程防禦體系,如此才能夠保證業務安全穩定的執行,品牌細水長流,萬年長青。
——————————————————
以上為史博老師在《業務安全大講堂》直播中對於數字藏品場景提到的所有內容,歡迎大家持續關注後續內容。
《業務安全大講堂》系列直播課由頂象傾力打造,彙集安全業內大咖組建豪華講師天團,分享萬億級業務安全攻防經驗,打造時下最專業的業務安全直播課!
透過“技術+方案+實踐”三大核心專題,帶您全面瞭解金融、網際網路、航旅出行、跨境電商以及目前大熱的NFT/數字藏品等各類業務風險及防範手段,深入解析背後的產品技術,抽絲剝繭攻防實戰,助您打造零風險的數字業務。
頂象旨在打造一個輕鬆愉悅的溝通交流平臺,讓大家能在融合的氛圍中認識更多志同道合的朋友,一起分享學習,相互成就。