黑灰產眼中的NFT：平臺嗷嗷待宰，使用者送錢上門

2022年6月，頂象防禦雲業務安全情報中心監測到，某NFT平臺促銷活動中同時遭遇“刷量”和“薅羊毛”雙重業務欺詐。

基於編號為BSI-2022-140和BSI-2022-143的兩份業務安全情報顯示：黑灰產首先為不符合標準的NFT平臺使用者做刷榜刷量推廣，幫助其快速獲得平臺獎勵。然後利用刷量的賬號，哄搶NFT平臺發行的數字藏品，再透過社群論壇低價轉售。由此給該NFT平臺造成數千萬元的經濟損失。

NFT是什麼？有什麼價值？

NFT的全稱是Non-Fungible Tokens，常翻譯為“非同質化通證”。最早誕生於2017年區塊鏈遊戲“加密貓”，本質上是基於數字貨幣的智慧合約。作為區塊鏈的一個條目，在區款鏈的技術和相關協議下，NFT擁有唯一編碼，有加密性、唯一性等獨特性。

在物理世界裡的一幅作品、一張照片、一個影片，創作者只能贈予或售賣一次。後續再有二次、三次甚至多次的交易都與創作者無關。但NFT世界裡的作品，可以根據創作者的需求，自定義作品的數量。無論創作的是文字、音樂、影片、圖片還是繪畫，都可以透過NFT平臺進行鑄造交易。所謂鑄造就是把作品進區塊鏈加密，使之成為獨一無二的、特定資產的所有權。

2021年是NFT大火的一年，被大家廣為所知是在2021年。這一年的9月，杭州2022年亞運會發布了限量20000份的 NFT “數字火炬”。在短短几天后，數字火炬的身價直接翻了幾百倍。

東方證券一項資料顯示，2021年1月至8月，OpenSea（全球最大 NFT 交易平臺）的NFT交易金額超過10億美元，佔全球NFT交易規模的98.3%。而在2020年，該平臺的交易額不足2000萬美元。

NFT的應用場景很多，藝術作品、收藏品、時尚娛樂、遊戲內物品，還有體育競技、身份驗證、保險、電子門票等，但是最廣為人知的是數字藝術和遊戲。每件藝術品都可以透過NFT的形式呈現，不僅保護版權，更可以驗證購買藝術品的真實性。在元宇宙加持下的遊戲，能夠透過NFT記錄玩家在遊戲內物武器、裝備、角色等，確保物品交換、交易、獲取時的真實性。同時，NFT良好實現了實物的數字資產化，對數字藝術更好的定價與流通。

國內希望NFT作為一種去金融化的數字藏品，僅保留其收藏功能，禁止二次交易。2022年4月，中國網際網路金融協會、中國銀行業協會、中國證券業協會聯合釋出了《關於防範NFT相關金融風險的倡議》，對 NFT 所具有的價值和潛力做出了肯定，表明協會推動NFT向合規化發展的願景。同時明確防範金融風險仍是NFT監管的重點，杜絕 NFT 金融化證券化的傾向。

NFT平臺活動，黑灰產“一魚兩吃”

某NFT平臺與多個名家合作數字藏品，很多作品是創世首發，藏品未來升值空間較大。為了擴大藏家規模，提升平臺知名度，該平臺開啟新一輪推廣活動，達到推廣任務量或吸引到 一定新註冊的使用者，就能夠獲得三重獎勵：一重獎勵是增加免費抽獎的次數，可以免費領取限量首發的數字藏品；二重獎勵能夠獲取珍貴藏品創世首發的優先購買權；三重獎勵能夠獲得合作電商平臺、店鋪等的無門檻代金券，購買數字藏品時可直接抵扣。

為了快速達到推廣量，一部分使用者透過電商、論壇、IM等方式主動聯絡到黑灰產，付費幫助其偽造投票量和新使用者註冊量，然後領取NFT平臺的獎勵。

在為部分NFT平臺使用者提供刷榜刷量、作弊推廣、賺取服務費的過程中，黑灰產迅速熟悉了該平臺的各項規則，同時發現該NFT領域平臺活動防護門檻較低，營銷反作弊意識薄弱，未部署專業的業務安全體系，可以說近乎裸奔。

於是，黑灰產藉機註冊大量虛假賬號，哄搶平臺上首發、稀缺、珍貴的數字藏品。然後透過電商平臺折價出售。

不同場景不用手法，黑灰產幾種欺詐手段

頂象防禦雲業務安全情報中心分析發現，黑灰產在NFT平臺不同場景下采用了不同技術工具。

在註冊場景：黑灰產透過接碼平臺、打碼平臺、代理IP、指令碼軟體等作弊工具，實現批次自動化賬號註冊。

在投票場景：黑灰產使用“秒撥”客戶端軟體，進行簡單配置後，就可以實現自動變換IP地址，以規避平臺的IP頻次限制安全策略，實現對某一選項的海量投票刷榜。

在交易場景：黑灰產透過群控軟體，操控大量賬號，短時間內完成指定商品的搶購。

黑灰產半夜最瘋狂，IP代理地址很集中

基於黑灰產活動資訊，頂象防禦雲業務安全情報中心分析發現：黑灰產在深夜0點至早上6點活動頻繁，尤其深夜異常活躍。

基於NFT平臺驗證請求的活躍IP資料分析發現，黑灰產主要使用河北衡水、江蘇揚州、吉林通化、江蘇泰州等地代理IP地址。同時，發現大量登入賬號拖動軌跡明顯異常，且使用模擬器特徵。

頂象防禦雲業務安全情報中心分析，NFT平臺被訪問頁面的來源IP地址聚集特徵明顯，多數IP地址被識別為“秒撥IP”。

頂象防禦雲業務安全情報中心還發現，黑灰產訪問頻次聚集明顯，單個裝置24小時內內訪問頻次高達51.8萬次，是非常明顯的機刷行為。

此外，頂象防禦雲業務安全情報中心統計顯示，絕大部分請求來源href為本地搭建工具：http://localhost/xxxx/xx/。

防禦雲的防控建議

基於NFT行業特徵以及風險態勢分析，頂象防禦雲業務安全情報中心建議NFT平臺在事前防禦、事中識別、事後處置的安全體系，以有效防各類欺詐行為，保障業務健康執行。

事前全鏈路防控

保障客戶端安全：NFT平臺的APP和網頁，可以分別部署端加固及H5混淆防護，以保障客戶端安全。

提前環境檢測安全：客戶端整合安全SDK以後，定期對App的執行環境進行檢測，檢查是否有程式碼注入、hook、模擬器、雲手機、除錯、代理、VPN、root、越獄等風險。

保障通訊傳輸安全：業務的通訊傳輸中，黑灰產可能會篡改通訊報文中的一些資料，透過對前端SDK進行加固，在通訊鏈路採用國密演算法進行加密，防止終端安全檢測模組的資料被篡改和冒用。

事中風險識別和攔截

多場景下人機安全驗證：在註冊、登入、抽獎、搶購等業務場景下部署頂象無感驗證，有效識別機器行為，攔截垃圾註冊、批次登入。

結合手機號黑名單識別註冊登入風險：黑灰產會使用虛擬號段、連號手機號以及沒有任何號段特徵的黑產小號來註冊，透過風險手機號有效識別風險號碼。

結合IP黑名單識別刷票風險：黑灰產刷票時，會採用IP代理池進行“機刷”，IP風險庫能夠有效識別惡意IP地址。

結合決策引擎實現實時防控：接入實時決引擎，基於業務資料和風險資料，制定不同安全策略，快速有效識別並攔截註冊、登入、搶購等場景欺詐行為及營銷作弊行為。其中風控維度建議：

1、裝置終端執行環境：裝置指紋ID是否合法、端是否有注入、除錯、模擬器、VPN、代理等特徵，通常營銷作弊裝置大多具備以上特徵。

2、多場景行為檢測：裝置使用限制，如限制多賬號使用同一裝置註冊，多賬號使用同一裝置登入、賬號對應的裝置經常變化、IP短時間高頻訪問等行為維度檢測。

3、風險庫名單：基於風控資料、歷史打卡資料，沉澱並維護對應黑白名單資料，包括使用者ID、手機號、裝置黑名單等。

4、外部資料服務：對接手機號風險評分、IP風險庫等；

5、資料模型：業務據有一定積累以後，透過風控資料以及業務的沉澱資料，對使用者行為進行建模，模型的輸出可以直接在風控策略中使用。

事後風險處置

根據業務實際需求，頂象防禦雲業務安全情報中心提供兩種處置建議。

1、風險資料打標。註冊、登入場景識別風險後先不實時反饋結果給使用者，先沉澱風險名單，供抽獎、搶購場景呼叫。如在抽獎場景將風險名單設定為黑名單，給使用者返回未抽中，或直接發價值不高的普惠獎。

2、線上實時反饋。對識別為風險的請求進行實時攔截，直接顯示請求成功或者失敗，惡意行為使用者直接凍結賬號。

基於處置建議，頂象防禦雲業務安全情報中心提供兩個技術解決方案。

1、頂裝置指紋+決策引擎：裝置指紋可以針對端上風險進行識別，例如注入、模擬器、除錯等，配合決策引擎使用，可以實時發現風險並給予處置。

2、業務安全感知（移動版）：安全感知可以識別發現移動端風險，不僅可以覆蓋裝置指紋產品發現的風險，而且無需決策引擎，可以直接對移動端風險進行處置，但與裝置指紋+決策引擎組合的區別在於安全感知無法使用業務欄位，只防控移動端層面風險。

業務安全情報中心是頂象防禦雲的整合服務。頂象防禦雲整合業務感知防禦平臺、驗證碼、裝置指紋和端加固等產品，以及業務安全情報、雲策略等服務，擁有豐富的技術工具、數萬個安全策略及數百個業務場景解決方案，具有情報、感知、分析、策略、防護、處置的能力，提供模組化配置和彈性擴容，助企業快速、高效、低成本構建自主可控的業務安全體系。