黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

頂象技術發表於2022-10-21

2022年6月,頂象防禦雲業務安全情報中心監測到,某NFT平臺促銷活動中同時遭遇“刷量”和“薅羊毛”雙重業務欺詐。

基於編號為BSI-2022-140和BSI-2022-143的兩份業務安全情報顯示:黑灰產首先為不符合標準的NFT平臺使用者做刷榜刷量推廣,幫助其快速獲得平臺獎勵。然後利用刷量的賬號,哄搶NFT平臺發行的數字藏品,再透過社群論壇低價轉售。由此給該NFT平臺造成數千萬元的經濟損失。

NFT是什麼?有什麼價值?

NFT的全稱是Non-Fungible Tokens,常翻譯為“非同質化通證”。最早誕生於2017年區塊鏈遊戲“加密貓”,本質上是基於數字貨幣的智慧合約。作為區塊鏈的一個條目,在區款鏈的技術和相關協議下,NFT擁有唯一編碼,有加密性、唯一性等獨特性。

在物理世界裡的一幅作品、一張照片、一個影片,創作者只能贈予或售賣一次。後續再有二次、三次甚至多次的交易都與創作者無關。但NFT世界裡的作品,可以根據創作者的需求,自定義作品的數量。無論創作的是文字、音樂、影片、圖片還是繪畫,都可以透過NFT平臺進行鑄造交易。所謂鑄造就是把作品進區塊鏈加密,使之成為獨一無二的、特定資產的所有權。

2021年是NFT大火的一年,被大家廣為所知是在2021年。這一年的9月,杭州2022年亞運會發布了限量20000份的 NFT “數字火炬”。在短短几天后,數字火炬的身價直接翻了幾百倍。

東方證券一項資料顯示,2021年1月至8月,OpenSea(全球最大 NFT 交易平臺)的NFT交易金額超過10億美元,佔全球NFT交易規模的98.3%。而在2020年,該平臺的交易額不足2000萬美元。

NFT的應用場景很多,藝術作品、收藏品、時尚娛樂、遊戲內物品,還有體育競技、身份驗證、保險、電子門票等,但是最廣為人知的是數字藝術和遊戲。每件藝術品都可以透過NFT的形式呈現,不僅保護版權,更可以驗證購買藝術品的真實性。在元宇宙加持下的遊戲,能夠透過NFT記錄玩家在遊戲內物武器、裝備、角色等,確保物品交換、交易、獲取時的真實性。同時,NFT良好實現了實物的數字資產化,對數字藝術更好的定價與流通。

國內希望NFT作為一種去金融化的數字藏品,僅保留其收藏功能,禁止二次交易。2022年4月,中國網際網路金融協會、中國銀行業協會、中國證券業協會聯合釋出了《關於防範NFT相關金融風險的倡議》,對 NFT 所具有的價值和潛力做出了肯定,表明協會推動NFT向合規化發展的願景。同時明確防範金融風險仍是NFT監管的重點,杜絕 NFT 金融化證券化的傾向。

NFT平臺活動,黑灰產“一魚兩吃”

某NFT平臺與多個名家合作數字藏品,很多作品是創世首發,藏品未來升值空間較大。為了擴大藏家規模,提升平臺知名度,該平臺開啟新一輪推廣活動,達到推廣任務量或吸引到 一定新註冊的使用者,就能夠獲得三重獎勵:一重獎勵是增加免費抽獎的次數,可以免費領取限量首發的數字藏品;二重獎勵能夠獲取珍貴藏品創世首發的優先購買權;三重獎勵能夠獲得合作電商平臺、店鋪等的無門檻代金券,購買數字藏品時可直接抵扣。

為了快速達到推廣量,一部分使用者透過電商、論壇、IM等方式主動聯絡到黑灰產,付費幫助其偽造投票量和新使用者註冊量,然後領取NFT平臺的獎勵。

在為部分NFT平臺使用者提供刷榜刷量、作弊推廣、賺取服務費的過程中,黑灰產迅速熟悉了該平臺的各項規則,同時發現該NFT領域平臺活動防護門檻較低,營銷反作弊意識薄弱,未部署專業的業務安全體系,可以說近乎裸奔。

於是,黑灰產藉機註冊大量虛假賬號,哄搶平臺上首發、稀缺、珍貴的數字藏品。然後透過電商平臺折價出售。

黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

不同場景不用手法,黑灰產幾種欺詐手段

頂象防禦雲業務安全情報中心分析發現,黑灰產在NFT平臺不同場景下采用了不同技術工具。

在註冊場景:黑灰產透過接碼平臺、打碼平臺、代理IP、指令碼軟體等作弊工具,實現批次自動化賬號註冊。

在投票場景:黑灰產使用“秒撥”客戶端軟體,進行簡單配置後,就可以實現自動變換IP地址,以規避平臺的IP頻次限制安全策略,實現對某一選項的海量投票刷榜。

在交易場景:黑灰產透過群控軟體,操控大量賬號,短時間內完成指定商品的搶購。

黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

黑灰產半夜最瘋狂,IP代理地址很集中

基於黑灰產活動資訊,頂象防禦雲業務安全情報中心分析發現:黑灰產在深夜0點至早上6點活動頻繁,尤其深夜異常活躍。

黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

基於NFT平臺驗證請求的活躍IP資料分析發現,黑灰產主要使用河北衡水、江蘇揚州、吉林通化、江蘇泰州等地代理IP地址。同時,發現大量登入賬號拖動軌跡明顯異常,且使用模擬器特徵。

黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

頂象防禦雲業務安全情報中心分析,NFT平臺被訪問頁面的來源IP地址聚集特徵明顯,多數IP地址被識別為“秒撥IP”。

黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

頂象防禦雲業務安全情報中心還發現,黑灰產訪問頻次聚集明顯,單個裝置24小時內內訪問頻次高達51.8萬次,是非常明顯的機刷行為。

黑灰產眼中的NFT:平臺嗷嗷待宰,使用者送錢上門

此外,頂象防禦雲業務安全情報中心統計顯示,絕大部分請求來源href為本地搭建工具:http://localhost/xxxx/xx/。

防禦雲的防控建議

基於NFT行業特徵以及風險態勢分析,頂象防禦雲業務安全情報中心建議NFT平臺在事前防禦、事中識別、事後處置的安全體系,以有效防各類欺詐行為,保障業務健康執行。

事前全鏈路防控

保障客戶端安全:NFT平臺的APP和網頁,可以分別部署端加固及H5混淆防護,以保障客戶端安全。

提前環境檢測安全:客戶端整合安全SDK以後,定期對App的執行環境進行檢測,檢查是否有程式碼注入、hook、模擬器、雲手機、除錯、代理、VPN、root、越獄等風險。

保障通訊傳輸安全:業務的通訊傳輸中,黑灰產可能會篡改通訊報文中的一些資料,透過對前端SDK進行加固,在通訊鏈路採用國密演算法進行加密,防止終端安全檢測模組的資料被篡改和冒用。

事中風險識別和攔截

多場景下人機安全驗證:在註冊、登入、抽獎、搶購等業務場景下部署頂象無感驗證,有效識別機器行為,攔截垃圾註冊、批次登入。

結合手機號黑名單識別註冊登入風險:黑灰產會使用虛擬號段、連號手機號以及沒有任何號段特徵的黑產小號來註冊,透過風險手機號有效識別風險號碼。

結合IP黑名單識別刷票風險:黑灰產刷票時,會採用IP代理池進行“機刷”,IP風險庫能夠有效識別惡意IP地址。

結合決策引擎實現實時防控:接入實時決引擎,基於業務資料和風險資料,制定不同安全策略,快速有效識別並攔截註冊、登入、搶購等場景欺詐行為及營銷作弊行為。其中風控維度建議

1、裝置終端執行環境:裝置指紋ID是否合法、端是否有注入、除錯、模擬器、VPN、代理等特徵,通常營銷作弊裝置大多具備以上特徵。

2、多場景行為檢測:裝置使用限制,如限制多賬號使用同一裝置註冊,多賬號使用同一裝置登入、賬號對應的裝置經常變化、IP短時間高頻訪問等行為維度檢測。

3、風險庫名單:基於風控資料、歷史打卡資料,沉澱並維護對應黑白名單資料,包括使用者ID、手機號、裝置黑名單等。

4、外部資料服務:對接手機號風險評分、IP風險庫等;

5、資料模型:業務據有一定積累以後,透過風控資料以及業務的沉澱資料,對使用者行為進行建模,模型的輸出可以直接在風控策略中使用。

事後風險處置

根據業務實際需求,頂象防禦雲業務安全情報中心提供兩種處置建議。

1、風險資料打標。註冊、登入場景識別風險後先不實時反饋結果給使用者,先沉澱風險名單,供抽獎、搶購場景呼叫。如在抽獎場景將風險名單設定為黑名單,給使用者返回未抽中,或直接發價值不高的普惠獎。

2、線上實時反饋。對識別為風險的請求進行實時攔截,直接顯示請求成功或者失敗,惡意行為使用者直接凍結賬號。

基於處置建議,頂象防禦雲業務安全情報中心提供兩個技術解決方案。

1、頂裝置指紋+決策引擎:裝置指紋可以針對端上風險進行識別,例如注入、模擬器、除錯等,配合決策引擎使用,可以實時發現風險並給予處置。

2、業務安全感知(移動版):安全感知可以識別發現移動端風險,不僅可以覆蓋裝置指紋產品發現的風險,而且無需決策引擎,可以直接對移動端風險進行處置,但與裝置指紋+決策引擎組合的區別在於安全感知無法使用業務欄位,只防控移動端層面風險。

業務安全情報中心是頂象防禦雲的整合服務。頂象防禦雲整合業務感知防禦平臺、驗證碼、裝置指紋和端加固等產品,以及業務安全情報、雲策略等服務,擁有豐富的技術工具、數萬個安全策略及數百個業務場景解決方案,具有情報、感知、分析、策略、防護、處置的能力,提供模組化配置和彈性擴容,助企業快速、高效、低成本構建自主可控的業務安全體系。


相關文章