压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

最近，針對線上藝術家NFT（nonfungible token，非同質化通證）項目的惡意軟件攻擊表明犯罪份子也開始從數字貨物日益增長的蛋糕中“獲益”——這對那些越來越多的試圖乘上NFT浪潮進行品牌推廣的企業也有一定的警示作用。

根據Malwarebytes的研究人員觀察，這一系列的攻擊使用到了NFT項目Cyberpunk Ape Executives中的消息系統。這些消息被發送給在DeviantArt和Pixiv這類在線平臺的數字藝術創作者，邀請收件人一起和Cyberpunk Ape項目幕后的人員協作，創建新的NFT內容。這些信息還保證每天能有350美元的酬勞。

消息中還有一條鏈接，表示能將收件人引向項目的詳細信息。當用戶點擊這個鏈接的時候，他們會跳轉到一個網站，下載多幅猩猩的圖片，作為該項目NFT的例子。其中的一副圖片是可執行文件，會在打開的時候感染用戶的系統，并植入信息竊取腳本。

Malwarebytes表示，他們已經發現Pixiv和DeviantArt等平臺上多名用戶聲稱他們的賬戶被用于散布同樣的Cyberpunk Ape Executive NFT項目欺詐信息。Malwarebytes表示他們無法確認信息竊取腳本本身是否會導致賬號信息泄露，還是這又是其他釣魚攻擊的結果。

NFT相關的網絡犯罪：一個快速增長的威脅

這次的攻擊事件只是近來暴增的基于NFT的攻擊事件之一。Malwarebytes的首席惡意軟件情報分析師Chris Boyd表示，大部分的攻擊事件，當前只是針對直接在NFT領域工作的人。Boyd預測：“然而，隨著更多主流業務開始啟用NFT項目，或者想進入區塊鏈業務，NFT的安全問題會很快成為傳統行業中不得不考慮的問題。”

像Gartner和Forrester這樣的分析公司已經預測，在未來的幾年時間，NFT會成為企業戰略中的重要部分。Gartner在2021年的成熟度曲線中將NFT視為新興技術，并且認為這類技術會在未來十年對商業和社會形成最大的影響。Gartner預計，NTF會在元宇宙中承擔奠基層面的角色，幫助企業通過沉浸式的虛擬工作環境，為員工和其他人提供更好的聯系、合作和溝通環境。

Forrester指出像保險公司State Farm也通過橄欖球主題的尋寶進入NFT領域，代表了越來越多的企業正在快速投入對NFT進行試水。

HBR（Harvard Business Review，哈佛商業評論）在今年早些時候將企業對NFT初始的推動描述為他們開始關注發起屬于他們自己的數字收集品——比如Campbell的湯罐頭藝術。HBR預測在未來幾年，NFT會成為企業和他們顧客之間的“核心數字接觸點”。

各種類型的攻擊

Boyd提到，Malwarebytes每天都能觀察到多種不同的NFT和加密貨幣威脅。

“最常見的攻擊，是欺騙那些加密貨幣的狂熱者交出他們錢包的助記詞?！彼f到。那些被欺騙成功的用戶經常會永遠失去他們的加密貨幣，他繼續說到：“偽造的Airdrop也很常見，也會要求助記詞或者讓受害者將他們的錢包連接到惡意的Airdrop網站。這些虛假的Airdrop網站基本都是真實NFT項目網站的偽造品。由于有太多小而未被驗證的項目，通常用戶很難分辨孰真孰假?！?/p>

Check Point Software的漏洞相關產品總監Oded Vanunu表示，他的公司觀察到多個基于NFT的攻擊圍繞挖掘NFT市場和應用中的脆弱性展開。

“我們需要理解所有NFT或者加密市場都在使用Web3協議。”Vanunu說到，直指基于區塊鏈技術的一個新的互聯網環境。攻擊者正在試著發現新的攻擊方式，以利用連接到像區塊鏈這類分布式網絡的應用中的漏洞。

在過去幾個月，Check Point Research已經發現了多起攻擊，試圖騙用戶提供NFT平臺或者錢包的準入權限，針對NFT市場漏洞從而獲取屬于數字藝術家的NFT。

Check Point還發現利用惡意NFT挖掘平臺漏洞的攻擊。Vanunu表示，擁有NFT資產或者加密貨幣資產的組織需要注意這些威脅。用企業分發設備接入NFT市場的企業用戶也可能會讓他們的組織置于風險之中。

Lookout的安全解決方案高級經理Hank Schless也提到，越來越多基于NFT的詐騙同樣表明攻擊者在使用新的，并且相對未知的方式進行攻擊。許多受害者在用加密貨幣購買NFT，卻不完全理解其底層邏輯。比如，那些剛接觸NFT的人可能根本不知道如何驗證他們在關注的數字資產是否是真的。

攻擊者能夠利用這個信息差，欺騙攻擊者投標假的NFT。在比較昂貴的NFT的資產的時候，這就會成為一個問題——比如一個主要的投標方會對一大批買家供應碎片化的NFT所有權。

“這些‘組團’購買的行為，通常會在想推特、Reddit和Discord這樣的社交平臺進行協調，這反而會給攻擊者有機會接觸一大批潛在的受害者。”Schless說到。盡管說大部分NTF詐騙當前依然是針對C端，但一個攻擊者依然可能可以輕易地用NFT誘騙的方式，將惡意軟件安裝到一個企業設備中，然后獲取企業數據。

Vanunu認為，現在是時候讓組織提升用戶對圍繞NFT產生的威脅的安全意識了。擁有NFT平臺或者加密錢包的組織應該推動多因子驗證。他同樣建議采取雙錢包方案：一個冷錢包保存所有的數字資產，另一個錢包進行小額交易——這樣，即使被攻擊，攻擊者也無法搶走太多的資產。

來源：數世咨詢