“5.18日，美國演員Seth Green遭遇釣魚攻擊導致名下4個NFT被盜，盜竊者已將NFT全部售出，獲利近160枚ETH（約33萬美元）。相關研究機構對釣魚地址分析后，發現其中總共有8個用戶的NFT均被盜，全部售出后總獲利194ETH。”

近日，又一則NFT被盜案進入人們的視線，如今NFT的行業熱度可謂史無前例，然而伴隨而來的卻是被盜、侵權等一系列負面消息。基于區塊鏈的技術，號稱以加密、確權、永久保存、獨一無二等為標簽的NFT數字資產究竟如何確保安全，也成了人們更關心的話題。

猴子被盜出圈！周董損失380+萬

今年愚人節，由一只“猴子”引發的盜竊案迅速成為中文社交網站的霸屏話題。此“猴子”之所以引起廣泛

而正當大家都以為是愚人節玩笑時，黑客已悄手轉賣了周杰倫的NFT，這個藏品很快以111ETH、130ETH、155ETH的價格多次交易，當日，1ETH接近2.5萬人民幣，即周董被盜的NFT價值超過380余萬元！

NFT到底是什么？為何如此火爆？

2021年3月，藝術家Beeple的NFT畫作《每一天：最初的5000天》(Everydays：The First 5000 Days)拍出6937萬美元的天價，NFT迅速爆紅出圈。今年北京冬奧會期間，冰墩墩NFT數字藏品價格暴漲近千倍，也引發了無數人的熱搶。

如今動輒數萬美元的NFT作品，最早誕生于2017年，著名的區塊鏈平臺以太坊推出過一個名叫“CryptoPunks”的像素頭像項目，當年免費就可領取。直到2021年，隨著NFT作品屢屢被拍出天價，眾多明星紛紛入場，NFT也開始被更多人所知曉，NFT在國外的情形可以用“火熱”來形容。據加密數據指標網站Token Terminal數據顯示，NFT交易平臺OpenSea 2021年的交易量為140億美元，相比2020年（2170萬美元）增長了646倍，可謂是NFT元年。

NFT（Non-Fungible Token）是基于區塊鏈技術的一種非同質化代幣，本質上是加密貨幣的一種。NFT的創新之處在于它在區塊鏈平臺上得到確權，具備唯一性，且不可篡改和復制。理論上“萬物皆可NFT”，利用NFT技術所形成的數字資產可以是一張動圖、一幅畫、一個頭像、一段視頻，甚至是一段文字內容。因為發行和流通平臺的去中心化，使得這種數字資產更加公開、透明、難以偽造和虛增，因而成為密碼貨幣和token之后新的投資熱點。

正是由于NFT的特性，也讓藝術品收藏行業、影視音樂出版行業以及藝術品創作者們如獲至寶，成為屢屢和收藏品聯系在一起并炒出天價的原因之一，有很多人看好其在知識產權保護方面的應用。不僅國外，在國內NFT甚至衍生出更具本土化、合規化的是數字藏品模式。

然而繁榮背后，伴隨而來的卻是被盜、侵權、惡意軟件搶購等一系列負面消息。數字資產如何確保安全，也成了人們更關心的話題。

安全問題頻發，數字小偷手段不斷

天下熙熙皆為利來，天下攘攘皆為利往。風頭正盛的NFT吸引黑灰產們聞聲而來，不僅周董和Seth Green，光是回看今年的新聞，就能輕易找到頻發的攻擊事件：

l 1月，國內數字藏品開啟搶購，黑灰產用惡意搶購工具&設備實現一秒盈利20萬。

l 2月，國外藏友被盜無聊猴NFT全系列猿種和變種猿猴，價值270萬美元。同時，知名NFT交易平臺Opensea也遭黑客攻擊損失了大約170萬美元的NFT資產。

l 3月，知名NFT游戲Axie Infinty受到攻擊，損失價值高達6.25億美元。同月DeFiance Capital創始人兼Crypto投資者Arthur Ox遭受釣魚攻擊，加密錢包手機客戶端被破解，被控制超150萬美元NFT。

l 4月，再次發生多起“無聊猴游艇俱樂部”被攻擊事件，官方在Twitter建議用戶注意自身的賬號安全。

雖說區塊鏈技術足以保證NFT的真實性和歸屬，并且對鏈上信息進行有效溯源，作為數字憑證是可靠安全的。但是，作為交易流通的藝術藏品，NFT在流通過程中卻依舊存在各種安全隱患，尤其是在上鏈之前的環節，和用戶賬戶&數字錢包客戶端的安全上。再加NFT雖有區塊鏈技術的保障，但是其流通渠道卻是在一些中心化的平臺，這也導致了NFT的安全存在漏洞。

從數字資產自動化工具搶購到二級市場轉手、倒賣、撿漏交易；從用戶被釣魚泄露賬號信息到數字錢包客戶端被暴力破解，黑灰產在全鏈路上的攻擊行為可謂是無孔不入

（黑灰產產業鏈分工細致，情報-資源-工具-場景作惡變現，層層嵌套）

公開資料顯示，目前NFT的風險可大致分為三類：

1. 一類是NFT所有者授權問題，所有權依賴于私鑰，而NFT持有者也可授權其它地址作為代理人，可能因NFT持有者的誤操作，導致權限被劫持，例如私鑰持有者打開了釣魚軟件或者設備端被黑客惡意破解/安裝木馬病毒等，都可能導致私鑰的外泄，而擁有私鑰的人就成為NFT的擁有者，可以對NFT售賣。這一類主要是釣魚網站、錢包層面的不安全接口調用涉及相關安全因素；

2. 第二類針對國內實名制數字藏品玩法，黑灰產更是通過各類腳本工具機器人對平臺進行批量注冊、搶購、盜號、轉移數字藏品資產，圈內很多正常玩家時常調侃“三部手機同時搶，陪跑是常態，搶到是意外。”在此混亂現象下，更是不乏會在接碼平臺上出現黑吃黑的情形。

3. 第三類則是NFT參與DEFI（去中心化金融）系統后引入的外部風險，如NFT質押挖礦合約本身所帶來的安全風險等。

而以目前的技術，一旦NFT被黑灰產控制，被追回的幾率十分渺茫。因為區塊鏈是一個去中心化的系統，假設NFT轉移到某個地址，最多只能看到那個地址，而無法對應使用這個地址的人，因此沒辦法追回。隨著NFT的熱度日益高漲，大量用戶和真金白銀不斷傾倒進市場中，覬覦用戶錢包的黑灰產們只會更加活躍，不難想象危及用戶財產安全的事件會進一步增加。

保障數字資產安全，共建行業健康發展

一個新行業的發展離不開入局玩家和企業的共同努力，如今伴隨越來越多的用戶和平臺受損，各界對安全質疑的聲音愈發激烈，對NFT市場環境十分不利。對于個人用戶而言，更需要提升的是個人安全意識：

1. 警惕網絡釣魚。目前NFT的安全事件中，釣魚欺詐占了很大比例。因此，保護好自己的個人信息，檢測鏈接信息的安全，注意真假網站、郵件、APP的甄別都是非常重要的。請切記，不要輕易授權！

2. 保證私鑰/助記詞/加密錢包的安全，千萬不要泄露。一旦泄露，你的數字資產很可能就已處于風險之中。

3. 勿貪小便宜。輕信各種可疑來歷的福利信息也很容易讓自己付出沉重的代價，這點無論線上線下一樣重要。

而對于NFT乃至區塊鏈相關企業來說，則更需要構建專為自身業務而設計的全鏈路安全防御體系。憑借多年在業務安全領域的黑灰產專業對抗經驗，頂象量身打造業務安全感知防御云，防御云具有情報、感知、分析、策略、防護、處置的能力，提供模塊化配置和彈性擴容，助企業快速、高效、低成本構建自主可控的業務安全體系，可為NFT平臺以及相關企業解決后顧之憂，對當下NFT數字藏品市場亂象破局。

設備指紋通過用戶設備軟硬件指紋信息，生成可抗黑產破解的設備標識，作為縱深防御風控體系下的重要支撐，實現終端設備上的各類風險檢測、行為風險分析及真機識別，有效偵測黑灰產通過使用工具模擬器、刷機改機多開、團伙作弊等對NFT、數字藏品盜取等惡意欺詐盜取行為，具備唯一性和穩定性。一旦識別風險環境及行為操作，可在設備維度組合關聯多種業務策略進行處置。

（黑灰產群控手機和設備牧場）

在應對NFT及數字藏品的業務風險事件，即用戶的注冊、登錄、搶購、授權、轉增等行為，通過布防頂象“智能無感驗證”，基于設備、時間、訪問頻率、操作軌跡等信息，智能分析與預先判定操作者是合法用戶還是仿冒者，進而判斷是否對用戶操作放行：對于合法用戶，免驗證即通過；對于異常用戶，根據潛在風險等級進行二次驗證或直接攔截。既保障安全，又提升操作體驗，杜絕藏品被盜和惡意機器搶購事件。

作為管理和使用加密貨幣最關鍵的東西，私鑰對所有NFT用戶而言具有所有權，擁有私鑰才能支配相應的加密資產。在保障秘鑰安全層面，可對錢包客戶端進行安全加固。頂象全平臺端安全加固基于虛機源碼保護專利技術，為安卓、iOS等平臺客戶端提供全方位的加固保護，內嵌一機一密功能，保護錢包客戶端，應對APP盜版、協議破解、技術泄密、數據泄漏等問題，同時偵測模擬器、刷機改機、調試破解等欺詐行為，實現端（用戶端）到端（服務端）的全鏈路保護，有效防止攻擊類手段造成的私鑰竊取等風險。

結語

未來，NFT最理想的應用場景還是仍未成型的元宇宙。元宇宙要與現實場景打通，NFT則是連接虛擬和現實的重要途徑：現實世界里有什么，元宇宙里就可以有對應的NFT，交易可以通過NFT完成。

如今的NFT更像一個數位板的原版證書，更多時候是一種社交價值，面對市場的炒價現象，無論是圖片、音樂等藝術創作，雖然知道在網路上可以看到一樣的東西，但NFT的特性也在不斷吸引玩家花費成本投入。而對于普通人來說，對于看不見摸不到的虛擬產品，對于陌生領域的商機和可能產生的安全隱患，避免風險最好的辦法就是不碰，或許是比較理性的判斷。

一個新行業的長久發展離不開對黑灰產的安全防范，當下安全亂象頻出，是時候該行動起來了！