坊間的非同質化代幣(NFT)項目,大多依靠Facebook、Twitter、Discord等社交平台,與支持者互動及發布訊息。惟本地NFT項目Monkey Kingdom及AOTAVERSE,其Discord社群先後遭黑客入侵,後者估計損失達200萬港元。生產力局數碼轉型部總經理兼香港電腦保安事故協調中心(HKCERT)發言人陳仲文指出,加密資產為今年五大資訊保安風險之一,企業應加倍留意。
Discord平台連番遭到入侵,是否意味它有潛在安全問題?陳仲文分析,Discord未見有明顯漏洞,但如果NFT項目管理人員的賬戶及密碼組合,曾於過去的安全事故外洩,就有機會遭黑客「撞入」賬戶。當取得社群控制權後,冒充團隊張貼虛假網站連結,騙取支持者加密錢包的恢復短語(Recovery Phrase),再盜取錢包內的數碼資產。
宜雙重認證 審視權限
陳仲文建議,NFT項目管理人員應啟用各平台的雙重認證登入功能,並審視所使用的管理工具權限。一旦出現網絡安全事故,可透過HKCERT要求釣魚網站相關網絡供應商,關閉網站減少損失。「我們曾收到與MetaMask有關的釣魚網站報告,聯絡當地電腦保安事故協調中心後,於兩至三天內關閉相關網站。」
查看交易歷史驗證真偽
NFT頭像受不少名人追捧,為目前炙手可熱的NFT收藏品之一。惟其中一款常用的圖像檔案格式SVG(可縮放向量圖),可被植入小型惡意程式,讓黑客有機會存取NFT買家的電子錢包。
陳仲文指出,黑客會尋找各大NFT交易平台的漏洞。倘若平台保安檢查有所不足,黑客就可藉此長開釣魚攻擊。
市民如收到不明來歷的NFT或代幣,建議查看其交易歷史驗證真偽,保持可疑資產原封不動並報警求助。
