黑灰产眼中的NFT：平台嗷嗷待宰，用户送钱上门

2022年6月，顶象防御云业务安全情报中心监测到，某NFT平台促销活动中同时遭遇“刷量”和“薅羊毛”双重业务欺诈。
基于编号为BSI-2022-140和BSI-2022-143的两份业务安全情报显示：黑灰产首先为不符合标准的NFT平台用户做刷榜刷量推广，帮助其快速获得平台奖励。然后利用刷量的账号，哄抢NFT平台发行的数字藏品，再通过社群论坛低价转售。由此给该NFT平台造成数千万元的经济损失。
NFT是什么？有什么价值？
NFT的全称是Non-Fungible Tokens，常翻译为“非同质化通证”。最早诞生于2017年区块链游戏“加密猫”，本质上是基于数字货币的智能合约。作为区块链的一个条目，在区款链的技术和相关协议下，NFT拥有唯一编码，有加密性、唯一性等独特性。
在物理世界里的一幅作品、一张照片、一个视频，创作者只能赠予或售卖一次。后续再有二次、三次甚至多次的交易都与创作者无关。但NFT世界里的作品，可以根据创作者的需求，自定义作品的数量。无论创作的是文字、音乐、视频、图片还是绘画，都可以通过NFT平台进行铸造交易。所谓铸造就是把作品进区块链加密，使之成为独一无二的、特定资产的所有权。
2021年是NFT大火的一年，被大家广为所知是在2021年。这一年的9月，杭州2022年亚运会发布了限量20000份的 NFT “数字火炬”。在短短几天后，数字火炬的身价直接翻了几百倍。
东方证券一项数据显示，2021年1月至8月，OpenSea（全球最大 NFT 交易平台）的NFT交易金额超过10亿美元，占全球NFT交易规模的98.3%。而在2020年，该平台的交易额不足2000万美元。
NFT的应用场景很多，艺术作品、收藏品、时尚娱乐、游戏内物品，还有体育竞技、身份验证、保险、电子门票等，但是最广为人知的是数字艺术和游戏。每件艺术品都可以通过NFT的形式呈现，不仅保护版权，更可以验证购买艺术品的真实性。在元宇宙加持下的游戏，能够通过NFT记录玩家在游戏内物武器、装备、角色等，确保物品交换、交易、获取时的真实性。同时，NFT良好实现了实物的数字资产化，对数字艺术更好的定价与流通。
国内希望NFT作为一种去金融化的数字藏品，仅保留其收藏功能，禁止二次交易。2022年4月，中国互联网金融协会、中国银行业协会、中国证券业协会联合发布了《关于防范NFT相关金融风险的倡议》，对 NFT 所具有的价值和潜力做出了肯定，表明协会推动NFT向合规化发展的愿景。同时明确防范金融风险仍是NFT监管的重点，杜绝 NFT 金融化证券化的倾向。
NFT平台活动，黑灰产“一鱼两吃”
某NFT平台与多个名家合作数字藏品，很多作品是创世首发，藏品未来升值空间较大。为了扩大藏家规模，提升平台知名度，该平台开启新一轮推广活动，达到推广任务量或吸引到 一定新注册的用户，就能够获得三重奖励：一重奖励是增加免费抽奖的次数，可以免费领取限量首发的数字藏品；二重奖励能够获取珍贵藏品创世首发的优先购买权；三重奖励能够获得合作电商平台、店铺等的无门槛代金券，购买数字藏品时可直接抵扣。
为了快速达到推广量，一部分用户通过电商、论坛、IM等方式主动联系到黑灰产，付费帮助其伪造投票量和新用户注册量，然后领取NFT平台的奖励。
在为部分NFT平台用户提供刷榜刷量、作弊推广、赚取服务费的过程中，黑灰产迅速熟悉了该平台的各项规则，同时发现该NFT领域平台活动防护门槛较低，营销反作弊意识薄弱，未部署专业的业务安全体系，可以说近乎裸奔。
于是，黑灰产借机注册大量虚假账号，哄抢平台上首发、稀缺、珍贵的数字藏品。然后通过电商平台折价出售。

不同场景不用手法，黑灰产几种欺诈手段
顶象防御云业务安全情报中心分析发现，黑灰产在NFT平台不同场景下采用了不同技术工具。
在注册场景：黑灰产通过接码平台、打码平台、代理IP、脚本软件等作弊工具，实现批量自动化账号注册。
在投票场景：黑灰产使用“秒拨”客户端软件，进行简单配置后，就可以实现自动变换IP地址，以规避平台的IP频次限制安全策略，实现对某一选项的海量投票刷榜。
在交易场景：黑灰产通过群控软件，操控大量账号，短时间内完成指定商品的抢购。

黑灰产半夜最疯狂，IP代理地址很集中
基于黑灰产活动信息，顶象防御云业务安全情报中心分析发现：黑灰产在深夜0点至早上6点活动频繁，尤其深夜异常活跃。

基于NFT平台验证请求的活跃IP数据分析发现，黑灰产主要使用河北衡水、江苏扬州、吉林通化、江苏泰州等地代理IP地址。同时，发现大量登录账号拖动轨迹明显异常，且使用模拟器特征。

顶象防御云业务安全情报中心分析，NFT平台被访问页面的来源IP地址聚集特征明显，多数IP地址被识别为“秒拨IP”。

顶象防御云业务安全情报中心还发现，黑灰产访问频次聚集明显，单个设备24小时内内访问频次高达51.8万次，是非常明显的机刷行为。

此外，顶象防御云业务安全情报中心统计显示，绝大部分请求来源href为本地搭建工具：http://localhost/xxxx/xx/。
防御云的防控建议
基于NFT行业特征以及风险态势分析，顶象防御云业务安全情报中心建议NFT平台在事前防御、事中识别、事后处置的安全体系，以有效防各类欺诈行为，保障业务健康运行。
事前全链路防控
保障客户端安全：NFT平台的APP和网页，可以分别部署端加固及H5混淆防护，以保障客户端安全。
提前环境检测安全：客户端集成安全SDK以后，定期对App的运行环境进行检测，检查是否有代码注入、hook、模拟器、云手机、调试、代理、VPN、root、越狱等风险。
保障通讯传输安全：业务的通信传输中，黑灰产可能会篡改通信报文中的一些数据，通过对前端SDK进行加固，在通讯链路采用国密算法进行加密，防止终端安全检测模块的数据被篡改和冒用。
事中风险识别和拦截
多场景下人机安全验证：在注册、登录、抽奖、抢购等业务场景下部署顶象无感验证，有效识别机器行为，拦截垃圾注册、批量登录。
结合手机号黑名单识别注册登录风险：黑灰产会使用虚拟号段、连号手机号以及没有任何号段特征的黑产小号来注册，通过风险手机号有效识别风险号码。
结合IP黑名单识别刷票风险：黑灰产刷票时，会采用IP代理池进行“机刷”，IP风险库能够有效识别恶意IP地址。
结合决策引擎实现实时防控：接入实时决引擎，基于业务数据和风险数据，制定不同安全策略，快速有效识别并拦截注册、登录、抢购等场景欺诈行为及营销作弊行为。其中风控维度建议：
1、设备终端运行环境：设备指纹ID是否合法、端是否有注入、调试、模拟器、VPN、代理等特征，通常营销作弊设备大多具备以上特征。
2、多场景行为检测：设备使用限制，如限制多账号使用同一设备注册，多账号使用同一设备登录、账号对应的设备经常变化、IP短时间高频访问等行为维度检测。
3、风险库名单：基于风控数据、历史打卡数据，沉淀并维护对应黑白名单数据，包括用户ID、手机号、设备黑名单等。
4、外部数据服务：对接手机号风险评分、IP风险库等；
5、数据模型：业务据有一定积累以后，通过风控数据以及业务的沉淀数据，对用户行为进行建模，模型的输出可以直接在风控策略中使用。
事后风险处置
根据业务实际需求，顶象防御云业务安全情报中心提供两种处置建议。
1、风险数据打标。注册、登录场景识别风险后先不实时反馈结果给用户，先沉淀风险名单，供抽奖、抢购场景调用。如在抽奖场景将风险名单设置为黑名单，给用户返回未抽中，或直接发价值不高的普惠奖。
2、线上实时反馈。对识别为风险的请求进行实时拦截，直接显示请求成功或者失败，恶意行为用户直接冻结账号。
基于处置建议，顶象防御云业务安全情报中心提供两个技术解决方案。
1、顶设备指纹+决策引擎：设备指纹可以针对端上风险进行识别，例如注入、模拟器、调试等，配合决策引擎使用，可以实时发现风险并给予处置。
2、业务安全感知（移动版）：安全感知可以识别发现移动端风险，不仅可以覆盖设备指纹产品发现的风险，而且无需决策引擎，可以直接对移动端风险进行处置，但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段，只防控移动端层面风险。
业务安全情报中心是顶象防御云的集成服务。顶象防御云集成业务感知防御平台、验证码、设备指纹和端加固等产品，以及业务安全情报、云策略等服务，拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案，具有情报、感知、分析、策略、防护、处置的能力，提供模块化配置和弹性扩容，助企业快速、高效、低成本构建自主可控的业务安全体系。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！