HKCERT：NFT網絡攻擊知多些 保交易安全

社會近期熱論的「非同質化代幣」(NFT) 可以解讀為一張擁有權證明書，代表閣下擁有某項資產。現時大多熱賣的NFT都是以頭像圖片為主，發售者會以獨特的設計及限量發售等技巧吸引買家，買家可在社交媒體向全世界展示自己是圖片的其一擁有人，提昇社交能力。而現時資產種類亦已從數碼延伸至實體，例如藝術品或地產項目等，讓NFT成潮流字眼，令擁有NFT成為身份象徵，吸引更多人參與。

NFT生態系統

NFT本身是區塊鏈上的一種交易記錄，在整個生態系統中只佔最後的部份。整個生態先由創作者制成數碼作品、賣家及買家於NFT平台上拍賣及選購心頭好，買家簽署成交後才由平台將交易記錄寫入區塊鏈，當中包括金額及作品擁有權的轉移。

近期涉及NFT的網絡保安事故 

隨著NFT熱潮普及和價值上升，不法分子會透過各種方式攻擊NFT生態系統中的不同環節，以盜取他人NFT資產甚至加密貨幣。2021年12下旬，以著名故事人物孫悟空為主題的NFT項目《Monkey Kingdom》 在Discord社群 (一個社交媒體軟件) 被黑客入侵。黑客假扮成群組管理員發佈虛假交易平台連結，實際上是一個釣魚網站。用戶在沒有仔細留意網址的情況下按入連結，加密錢包內SOL (一種虛擬交易貨幣) 被盜取，總金額涉及約130萬美元 (約1千萬港元)。

另外，2022年2月，有黑客透過假冒大型NFT交易平台OpenSea發出釣魚電郵，藉此欺騙用戶簽署有問題的智能合約，把NFT傳送到黑客的錢包中，受影響用戶合共損失約170萬美元 (約1千3百萬港元)。

此外，早於1月，有用戶發現OpenSea 網站存在保安漏洞。用戶可以用遠低於價格下限的1%購買NFT 項目，例如「無聊猿猴遊艇俱樂部」（Bored Ape Yacht Club／BAYC），令持有人損失慘重。除了網站漏洞令持有人有所損失外，NFT 侵權行為也很猖獗。例如運動品牌Nike 於2022年2月起訴二手銷售平台StockX，控告該平台未經同意下擅自把其商標鑄造 NFT ，盼利用Nike 知名度圖利。

針對NFT及相關平台的攻擊種類

香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 表示，大部份涉及NFT的網絡攻擊都是圍繞用家及交易平台，主要可分為以下三類：

攻擊種類	手法
網絡釣魚	a)      騙取加密錢包恢復短語 黑客透過電郵、短訊或 Discord發送假網站連結，假網站版面與加密錢包一樣，要求加密錢包用戶輸入恢復短語，黑客獲得短語便可完全控制加密錢包內的資產。除假網站外，其他騙取恢復短語手法包括偽冒電腦技術人員訛稱提供協助。  b)     假交易訊息轉走錢包資產 假NFT平台會彈出交易訊息，要求用戶連接錢包及簽署以確認交易，但其實是讓黑客將資產轉移至其帳戶。
NFT 平台保安漏洞	NFT平台的運作其實類似網購平台，由供應商開發及營運。現時網絡上有多個較受歡迎的NFT平台，而漏洞通常是因在平台設計及開發階段時對保安缺乏足夠考慮所出現。此類保安漏洞亦是黑客的攻擊目標之一，例如黑客可上載含有惡意程式碼的作品，入侵缺乏雙重身分驗證的帳戶，或藉由保安設計的缺陷以低價購入NFT轉售圖利。
假冒或侵權作品	由於大部份的NFT作品都是圖片，所以NFT熱賣亦吸引抄襲者「偷圖」再於其他平台出售。此外，一些公司商標和名人頭像亦在未經當事人同意下，被製成NFT出售。現時世界各地都未有法規監管NFT買賣，而社會上一般認為NFT只代表資產擁有權，對於版權屬誰則未有定論。NFT擁有人的權利不清晰及追究困難，令購入假冒或侵權NFT的事主蒙受精神及金錢上的損失。

如何安全地進行NFT交易？

HKCERT建議參與NFT買賣的人士應注意以下事項來保障個人利益：

• 切勿任意點擊來歷不明的電郵、短訊或社交媒體內的超連結或附件
• 使用瀏覽器書籤功能來儲存NFT交易平台網址，避免使用其他人發送的連結登入平台
• 啟用雙重或多重身份驗證功能
• 切勿向第三者透露錢包的恢復短語
• 設置臨時錢包，只儲存適量的加密幣作交易用
• 簽署任何合約前應小心核實所有資料，了解當中條款及潛在風險
• 檢視自己的NFT的存取授權，撤銷過去有問題或不確定用途的授權
• 購買NFT前，應做足資料搜集，了解設計者的身分，並檢查NFT的介紹資料是否齊全 (如其他用戶評論、過往交易、是否原創作品等)；如平台有移除侵權的NFT機制，用戶可向支援人員查詢

另外，大家在使用NFT交易常用的社交媒體軟件Discord通訊時要留心。用戶要小心查證與官方公開資料不符的訊息及網站連結，如發現平台上的NFT價值與官方公佈的不同，應提高警覺；平台管理員則要啟用雙重認證及設定各管理人員的權限。同時，亦要留意NFT元數據 (metadata) 及作品的儲存方法，建議使用免費區塊鏈資料查詢平台 (例如etherscan、polyscan) 來檢視NFT作品的存放位置，或向賣家直接查詢。