顶象技术 · 2022年06月24日

数字时代的“文艺复兴”?起底数字藏品,让人欢喜让人愁

试问,当下国内持续火爆的产品是什么?常年混迹于互联网的时代弄潮儿毫无疑问会给出答案——非“数字藏品”莫属。每小时都有数起关于数字藏品的资讯不断刷新,各家大厂、私企、名人,甚至央企都相继入局,颇有年度热词之风。

image.png

数字时代的“文艺复兴”似乎到来,作为新风口,数字藏品的参与人数和市场规模增长迅速,而比较传统文创,数字藏品更增年轻时尚气息,同时,数字化属性打破了时空限制,限量和唯一性增加了它的收藏价值,更符合新消费需求。频繁的信息流刷屏,也让更多人眼熟数字藏品并且跃跃欲试;而另一层面,数字藏品不断的负面信息以及监管信息也让众多用户和平台提心吊胆,用户怕被割韭菜,平台怕出业务安全事故。

image.png

针对时下火热的数字藏品乱象,顶象《业务安全大讲堂》系列直播课中,史博老师起底NFT和数字藏品,详细讲解数字藏品以及其背后面临的业务安全风险和应对防控措施,为意欲入局数字藏品的多方答疑解惑。

image.png

起底NFT和数字藏品概念

image.png

NFT和数字藏品的关系可谓是相近但不同。NFT(Non-Fungible Token)是基于区块链技术的一种非同质化代币,本质上是加密货币的一种。NFT的创新之处在于它在区块链平台上得到确权,具备唯一性,且不可篡改和复制。理论上“万物皆可NFT”,利用NFT技术所形成的数字资产可以是一张动图、一幅画、一个头像、一段视频,甚至是一段文字内容。因为发行和流通平台的去中心化,使得这种数字资产更加公开、透明、难以伪造和虚增,因而成为密码货币和token之后新的投资热点。

image.png

2021年始,自NFT传入国内以来,迅速爆发的态势和疯狂增长的局面使其合规化成为必然。在合规发展要求下,数字藏品应运而生。简单理解国内风头正盛的数字藏品就是中国特色的受监管的NFT。同样于NFT,数字藏品也是采用区块链技术,且在区块链上有自己的唯一标识记录,这使得数字藏品没有办法篡改,也没有办法替代,因此具备了自身的唯一性,有了自己的稀缺性,并且实现可追溯性,即谁发行的这个数字藏品、谁购买了这个数字藏品、最终谁拥有的这个数字藏品都清晰可知。这也使得大家愿意去购买数字藏品,使其具备了收藏价值。

此外,数字藏品的兴起,不仅仅是因为它拓宽了传统艺术品的数字化空间,也不仅仅是因为它借助区块链技术,为数字艺术品的确权与交易提供了有效的方式。更重要的意义在于,在“元宇宙”的开发浪潮中,数字藏品可以成为元宇宙中数字资产凭证的一种表现形式,并且将随着元宇宙的发展逐步演进。

image.png

数字藏品之于NFT的具体区别,主要将其金融属性和交易属性相对弱化。(如图)

image.png

数字藏品成为了黑灰产的“香饽饽”

无论是NFT还是数字藏品,都拥有着潜力巨大的市场空间,现有的增长率已十分高,但同时也面临着各种各样的风险。首先,数字藏品需要在平台上发行,那平台方面临的业务风险问题层出不穷,监管合规、账号安全保障、产权保护等;其次数字藏品购买用户本身,也会面临一些钓鱼、诈骗等问题致使被盗或亏损,且因为二级市场的存在,仍会有炒作风险存在;最后对于开发商而言,数字藏品开发出来后,选哪个平台上架?平台是否安全?数字藏品在上面是否有遗失风险?这些问题都是需要慎重考虑的,因为数字藏品不可再生,一旦遗失就是资产损失。

image.png

5月17日,某著名数字藏品平台,数据库被黑灰产攻击,利用虚假余额购买盗取玩家藏品,使得数字藏品的价值,瞬间疯涨上千倍,近千万元价格的藏品均被“秒卖”,事后平台报警。这对于真正参与数字藏品的玩家,于其中并没有得到任何收益,甚至造成了大量资产损失,而黑灰产,则将上千万的数字数字藏品轻松到手。除此之外,自该平台上线以来,曾多次出现系统问题,包括用户无法登录、卡顿、服务器繁忙报错、验证码频繁输入等问题。

image.png

此外经过顶象长期跟踪监测,国内当下已涌现出了非常多的NFT/数字藏品交易平台,黑灰产凭借强大的技术能力以及敏锐的市场嗅觉,使得每个平台都已出现一款甚至多款针对性的攻击软件。这些攻击软件均可实现监控数字藏品的上线、锁单、提醒、利润分成等基础的自动化能力。

image.png

而高级版功能会更强大,某款NFT抢购软件可以监控平台上NFT上线的情况,然后自动化的去发现价值被低估的NFT并进行捡漏,同样能实现在新品发行过程中抢购秒杀,锁单不让别人去抢,而整套软件仅需188元/月,即可无限制的对各平台发起攻击,成本非常低,只要拿到一个数千块的数字藏品,成本就收回来了,并且利润率非常高。而这样系列的标准化工具一旦出现,连普通人都不知不觉的被参与到黑灰产行为中来,殊不知这些其实都是违法行为。

image.png

面对黑灰产猛烈攻势的数字藏品安全场景,该怎样去做风险防控?史博老师给出了4个关键点。

首先平台方需要做好终端安全防控,防止APP被破解,防止用户手上的设备被恶意利用;其次,做到接口安全,在接口层面保护数据链路,防止被中间人攻击、不被伪造篡改等;同时在账号层面,增设新一代智能无感验证码做好人机识别,保障账户安全,谨防黑灰产机器流量;最后在交易过程中,做好对恶意抢购的监控和锁单捡漏的识别和防护。通过构建上述提到的完整安全防护,以此来对抗黑灰产工具产生的相关攻击。

image.png

天下熙熙,皆为利来,天下攘攘,皆为利往。黑灰产的攻击从来不限制于平台区别,属于无差别攻击,一旦平台有利可图,只要上面有钱可赚,黑灰产一定会尝试发起攻击和牟利。对于企业而言,更重要的就是树立风险防控的意识,建立好事前事中事后的全业务全流程防御体系,如此才能够保证业务安全稳定的运行,品牌细水长流,万年长青。

image.png

——————————————————
以上为史博老师在《业务安全大讲堂》直播中对于数字藏品场景提到的所有内容,欢迎大家持续关注后续内容。

《业务安全大讲堂》系列直播课由顶象倾力打造,汇集安全业内大咖组建豪华讲师天团,分享万亿级业务安全攻防经验,打造时下最专业的业务安全直播课!

image.png

通过“技术+方案+实践”三大核心专题,带您全面了解金融、互联网、航旅出行、跨境电商以及目前大热的NFT/数字藏品等各类业务风险及防范手段,深入解析背后的产品技术,抽丝剥茧攻防实战,助您打造零风险的数字业务。

image.png

顶象旨在打造一个轻松愉悦的沟通交流平台,让大家能在融合的氛围中认识更多志同道合的朋友,一起分享学习,相互成就。

推荐阅读
关注数
2
文章数
21
业务安全引领者,让数字世界无风险
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息