【網絡安全】NFT安全風險增 HKCERT揭3大攻擊手法

科技 16:44 2022/03/14

分享:

分享:

香港電腦保安事故協調中心(HKCERT)揭示3大攻擊手法,以及指出進行NFT交易時須留意8大重點。

NFT(非同質化代幣) 近年成為不少人的投資物品,但隨著其熱潮普及和價值上升,不法分子會透過各種方式攻擊NFT系統中的不同環節,以盜取他人NFT資產甚至加密貨幣。香港電腦保安事故協調中心(HKCERT)揭示3大攻擊手法,以及指出進行NFT交易時須留意8大重點。

【加密貨幣騙案】美國姐弟檔行騙遭起訴 最高可判監65年
 
HKCERT表示,大部份涉及NFT的網絡攻擊都是圍繞用家及交易平台,主要可分為以下3類:
 
(1)網絡釣魚

  • 騙取加密錢包恢復短語

黑客透過電郵、短訊或Discord發送假網站連結,假網站版面與加密錢包一樣,要求加密錢包用戶輸入恢復短語,黑客獲得短語便可完全控制加密錢包內的資產。除假網站外,其他騙取恢復短語手法包括偽冒電腦技術人員訛稱提供協助。

  • 假交易訊息轉走錢包資產

假NFT平台會彈出交易訊息,要求用戶連接錢包及簽署以確認交易,但其實是讓黑客將資產轉移至其帳戶。
 
(2)NFT平台保安漏洞
NFT平台的運作其實類似網購平台,由供應商開發及營運。現時網絡上有多個較受歡迎的NFT 平台,而漏洞通常是因在平台設計及開發階段時對保安缺乏足夠考慮所出現。此類保安漏洞亦是黑客的攻擊目標之一,例如黑客可上載含有惡意程式碼的作品,入侵缺乏雙重身分驗證的帳戶,或藉由保安設計的缺陷以低價購入NFT轉售圖利。
 
(3)假冒或侵權作品
由於大部份的NFT作品都是圖片,所以NFT熱賣亦吸引抄襲者「偷圖」再於其他平台出售。此外,一些公司商標和名人頭像亦在未經當事人同意下,被製成NFT出售。現時世界各地都未有法規監管NFT買賣,而社會上一般認為NFT只代表資產擁有權,對於版權屬誰則未有定論。NFT擁有人的權利不清晰及追究困難,令購入假冒或侵權NFT的事主蒙受精神及金錢上的損失。

【虛擬經濟】英國稅務機關首次扣押NFT 打擊虛擬經濟犯罪活動
 
HKCERT也針對NFT交易,提出8個需要留意的地方:

  • 切勿任意點擊來歷不明的電郵、短訊或社交媒體內的超連結或附件;
  • 使用瀏覽器書籤功能來儲存NFT交易平台網址,避免使用其他人發送的連結登入平台;
  • 啟用雙重或多重身份驗證功能;
  • 切勿向第三者透露錢包的恢復短語;
  • 設置臨時錢包,只儲存適量的加密幣作交易用;
  • 簽署任何合約前應小心核實所有資料,了解當中條款及潛在風險;
  • 檢視自己的NFT的存取授權,撤銷過去有問題或不確定用途的授權;
  • 購買NFT前,應做足資料搜集,了解設計者的身分,並檢查NFT的介紹資料是否齊全(如其他用戶評論、過往交易、是否原創作品等);如平台有移除侵權的NFT機制,用戶可向支援人員查詢;

【NFT】OpenSea受黑客攻擊 交易量下降37%

責任編輯:廖淑瑩

開啟hket App,閱讀全文
緊貼財經時事新聞分析,讚好hket Facebook 專版
訂閱《香港經濟日報》電郵通訊
收取第一手財經新聞資訊 了解更多投資理財知識 提交代表本人同意收取香港經濟日報集團所發出的推廣訊息,你也可以查閱本網站的私隱政策使用條款