2022年6月,顶象防御云业务安全信息中心监控NFT在平台推广活动中,同时遭遇刷和薅羊毛的双重业务欺诈。
基于编号为BSI-2022-140和BSI-2022-143的两份业务安全信息显示,黑灰产品首先不符合标准NFT平台用户做刷榜刷量推广,帮助其快速获得平台奖励。然后利用刷量的账号,哄抢NFT通过社区论坛低价转售平台通过社区论坛低价转售。所以给这个NFT平台造成数千万元的经济损失。
NFT的全称是Non-Fungible Tokens,它通常被翻译成非同质化证书。区块链游戏加密猫最早诞生于2017年,本质上是基于数字货币的智能合同。作为区块链的一个项目,在区块链的技术和相关协议下,NFT具有独特的代码,如加密性和独特性。
创作者只能在物理世界中赠送或出售一幅作品、一张照片和一段视频。随后的二次、三次甚至多次交易都与创作者无关。但NFT根据创作者的需要,世界上的作品数量可以自定义。无论是文字、音乐、视频、图片还是绘画,都可以通过NFT铸造交易平台。所谓铸造,就是将作品加密到区块链中,使其成为特定资产的独特所有权。
2021年是NFT火灾发生的一年在2021年广为人知。今年9月,杭州2022年亚运会发布了量2万份NFT 数字火炬。短短几天,数字火炬的价值直接翻了几百倍。
根据东方证券的一项数据,2021年1月至8月,OpenSea(全球最大 NFT 交易平台)NFT全球交易量超过10亿美元NFT交易规模的98.3%。2020年,平台交易量不足2000万美元。
NFT有许多应用场景,包括艺术作品、收藏品、时尚娱乐、游戏中的物品、体育比赛、身份验证、保险、电子门票等,但最著名的是数字艺术和游戏。每一件艺术品都可以通过NFT不仅保护版权,而且验证购买艺术品的真实性。元宇宙加持下的游戏可以通过NFT在游戏中记录玩家的武器、装备、角色等,以确保物品交换、交易和获取的真实性。同时,NFT实现实物数字资产化,更好地定价和流通数字艺术。
国内希望NFT仅保留其收藏功能,禁止二次交易作为一种去金融化的数字收藏。2022年4月,中国互联网金融协会、中国银行业协会、中国证券业协会联合发布了《防范》NFT对相关金融风险的倡议 NFT 肯定了它的价值和潜力,表明协会促进了它NFT愿景向合规化发展。同时明确防范金融风险仍是NFT消除监管重点 NFT 金融化证券化的趋势。
某NFT该平台与多位著名艺术家合作收藏数字作品,许多作品首次创作,收藏未来升值空间大。为了扩大收藏家的规模,提高平台的知名度,平台开展了新一轮的推广活动,实现推广任务或吸引力 新注册用户可获得三项奖励:一项奖励是增加免费增加免费彩票的数量,可以免费获得有限的数字收藏;二个奖励可以获得宝贵收藏的优先购买权;三个奖励可以获得合作电子商务平台、商店等无门槛代金券,购买数字藏品时可直接扣除。
为了快速实现推广,一些用户通过电子商务、论坛、IM主动联系黑灰生产,付费帮助其伪造投票量和新用户注册量,然后NFT平台奖励。
在为部分NFT在平台用户提供刷卡、作弊推广和赚取服务费的过程中,黑灰生产迅速熟悉了平台的规则,发现了平台NFT平台活动保护门槛低,营销反作弊意识薄弱,专业业务安全体系未部署,可以说几乎裸奔。
因此,黑灰生产借此机会注册大量虚假账号,抢占平台上首发、稀缺、珍贵的数字藏品。然后通过电商平台折价出售。
顶象防御云业务安全情报中心分析发现,黑灰产在NFT不同的技术工具用于平台的不同场景。
黑灰生产通过接码平台、打码平台、代理IP、脚本软件等作弊工具,实现批量自动化账户注册。
黑灰生产采用秒拨客户端软件,简单配置后可实现自动变换IP避开平台的地址IP频率限制安全策略,实现对某一选项的大量投票
黑灰生产通过群控软件控制大量账号,短时间内抢购指定商品。
顶象防御云业务安全信息中心基于黑灰生产活动信息,发现黑灰生产在深夜0:00至早上6:00活动频繁,尤其是深夜。
基于NFT活跃的平台验证请求IP数据分析发现,河北衡水、江苏扬州、吉林通化、江苏泰州等地主要使用黑灰产品IP地址。同时发现大量登录账号拖动轨迹明显异常,使用模拟器特征。
顶象防御云业务安全信息中心分析,NFT平台访问页面的来源IP地址聚集特征明显,多数IP地址被识别为秒拨IP”。
顶象防御云业务安全信息中心还发现,黑灰产品的访问频率明显聚集,单个设备的访问频率在24小时内高达51.8万次,很明显机刷行为。
此外,顶象防御云业务安全情报中心统计显示,绝大部分请求来源href为本地搭建工具:http://localhost/xxxx/xx/。
基于NFT行业特征以及风险态势分析,顶象防御云业务安全情报中心建议NFT平台在事前防御、事中识别、事后处置的安全体系,以有效防各类欺诈行为,保障业务健康运行。
APP和网页,可以分别部署端加固及H5混淆防护,以保障客户端安全。
客户端集成安全SDK以后,定期对App的运行环境进行检测,检查是否有代码注入、hook、模拟器、云手机、调试、代理、VPN、root、越狱等风险。
业务的通信传输中,黑灰产可能会篡改通信报文中的一些数据,通过对前端SDK进行加固,在通讯链路采用国密算法进行加密,防止终端安全检测模块的数据被篡改和冒用。
:在注册、登录、抽奖、抢购等业务场景下部署顶象无感验证,有效识别机器行为,拦截垃圾注册、批量登录。
:黑灰产会使用虚拟号段、连号手机号以及没有任何号段特征的黑产小号来注册,通过风险手机号有效识别风险号码。
黑灰产刷票时,会采用IP代理池进行“机刷”,IP风险库能够有效识别恶意IP地址。
接入实时决引擎,基于业务数据和风险数据,制定不同安全策略,快速有效识别并拦截注册、登录、抢购等场景欺诈行为及营销作弊行为。其中:
1、设备终端运行环境:设备指纹ID是否合法、端是否有注入、调试、模拟器、VPN、代理等特征,通常营销作弊设备大多具备以上特征。
2、多场景行为检测:设备使用限制,如限制多账号使用同一设备注册,多账号使用同一设备登录、账号对应的设备经常变化、IP短时间高频访问等行为维度检测。
3、风险库名单:基于风控数据、历史打卡数据,沉淀并维护对应黑白名单数据,包括用户ID、手机号、设备黑名单等。
4、外部数据服务:对接手机号风险评分、IP风险库等;
5、数据模型:业务据有一定积累以后,通过风控数据以及业务的沉淀数据,对用户行为进行建模,模型的输出可以直接在风控策略中使用。
根据业务实际需求,顶象防御云业务安全情报中心提供两种处置建议。
1、风险数据打标。注册、登录场景识别风险后先不实时反馈结果给用户,先沉淀风险名单,供抽奖、抢购场景调用。如在抽奖场景将风险名单设置为黑名单,给用户返回未抽中,或直接发价值不高的普惠奖。
2、线上实时反馈。对识别为风险的请求进行实时拦截,直接显示请求成功或者失败,恶意行为用户直接冻结账号。
基于处置建议,顶象防御云业务安全情报中心提供两个技术解决方案。
1、顶设备指纹+决策引擎:设备指纹可以针对端上风险进行识别,例如注入、模拟器、调试等,配合决策引擎使用,可以实时发现风险并给予处置。
2、业务安全感知(移动版):安全感知可以识别发现移动端风险,不仅可以覆盖设备指纹产品发现的风险,而且无需决策引擎,可以直接对移动端风险进行处置,但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段,只防控移动端层面风险。
业务安全情报中心是顶象防御云的集成服务。顶象防御云集成业务感知防御平台、验证码、设备指纹和端加固等产品,以及业务安全情报、云策略等服务,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。
——————————
前往顶象官网立即获取最新情报~