Discord問題多!入侵釣魚攻擊 NFT《Monkey Kingdom》被駭
非同質化代幣NFT專案,大多以Facebook、Twitter、Discord等社交平台,與網友、粉絲互動及發布最新消息。惟本地NFT項目Monkey Kingdom及AOTAVERSE,其官方Discord社群先後遭黑客入侵,後者估計損失達200萬港元。 生產力局數碼轉型部總經理兼香港電腦保安事故協調中心(HKCERT)發言人陳仲文指出,加密資產為今年五大資訊保安風險之一,企業應加倍留意。 Discord是一款為社群而計的免費網絡實時通話軟體與數字發行平台,用戶之間可以在聊天頻道進行交流。該平台早前連番遭到入侵,投資者因為 Discord 蒙受損失。陳仲文分析,如果NFT項目管理人員的賬戶及密碼組合,曾於過去的安全事故外洩,就有機會遭黑客「撞入」賬戶。當取得社群控制權後,黑客冒充團隊張貼虛假網站連結,騙取支持者加密錢包的恢復短語(Recovery Phrase),再盜取錢包內的數碼資產。 陳仲文建議,NFT項目管理人員應啟用雙重認證登入功能,並審視所使用的管理工具權限。一旦出現網絡安全事故,可透過HKCERT要求釣魚網站相關網絡供應商,關閉網站減少損失。「我們曾收到與MetaMask有關的釣魚網站報告,聯絡當地電腦保安事故協調中心後,於兩至三天內關閉相關網站。」 NFT頭像日前受不少名人追捧,惟其中一款常用的圖像檔案格式SVG(可縮放向量圖),可被植入小型惡意程式,讓黑客有機會存取NFT買家的電子錢包。 陳仲文指,黑客會尋找各大NFT交易平台的漏洞並展開攻擊。市民應慎防社群拐騙,收到不明來歷的NFT或代幣,要查看其交易歷史驗證真偽,保持可疑資產原封不動並報警求助。