您真的了解是谁在为 NFT 出价吗？

为何 Web3 公司需要保护客户免受恶意 Bot 的侵害

非同质化代币 (NFT) 为品牌提供了巨大的收入潜力，如果没有从一开始就考虑到安全问题，也为网络犯罪分子提供利用的机会。Adidas 通过首次投放 NFT 获得了超过 2000 万美元的收入，许多主要的体育联盟如今已接受这些现代可收藏的纪念品。典型的示例就是 NBA Top Shot，这是一个以 NFT 形式提供数字篮球收藏品的在线市场，随着 NBA 季后赛的进行以及前洛杉矶湖人队球星 Magic Johnson 的首次 NFT 投放炒作，该市场目前正呈现出巨大的吸引力。

随着 NBA 总决赛的进行，父亲节即将到来以及毕业典礼如火如荼地进行，这是 NFT 市场推广限量发行的 NFT 的绝佳时机，也是送给父亲和毕业生的理想礼物。然而，不良动机者也注意到了近期 NFT 的高价值。Bot 是网络犯罪分子的秘密武器，他们利用 Bot 进行破坏、操纵价格、欺骗客户并破坏 NFT 生态系统。如果市场遭到 Bot 渗入，收藏家和投资者如何能知晓其 NFT 的真实价值？

NFT 市场和考虑其他 Web3 商业模式的组织，需要了解并解决在 metaverse 中开展业务所需面对的快速变化的安全要求。为了取得成功，这些新的数字交易所将需要提供动态的安全防御措施，防止 Bot 和其他网络攻击，以保护他们的 NFT 投资、市场声誉以及客户的活动与体验。

为何黑客将 Bot 集中于 NFT 销售上？很简单，只为一个“钱”字。据 Chainalysis 显示，到 2021 年底，NFT 市场增长到了 410 亿美元。NFT 市场生态系统相对不那么成熟，而且许多人对技术和流程并不是真正了解，从而使其成为不法分子的目标之选。网络犯罪组织利用 Bot 造成破坏，而且他们早已“驾轻就熟”，积攒了多年的破坏经验。

多年来，传统金融服务（如银行、经纪和保险公司）一直与日益复杂的 Bot 攻击作斗争。电子商务行业亦受到 Bot 的严重打击，特别是像运动鞋这类的限量版产品发布被囤积库存的 Bot 盯上。虽然区块链、加密货币和去中心化金融是近期创新成果，但其正处于已然成熟、历经考验的网络犯罪环境中。

需留意的 Bot

Bot 是 NFT 市场总要面对的现实。投放 NFT 极易被恶意 Bot 利用，它们操纵价格与产品供应，或是提供虚假产品进行销售。Bot 也可能是规模更大、更诡计多端的架构一部分，可能涉及破坏整个网站、窃取身份并获得其他个人财务信息。以下是您应该加以防范的几类 Bot：

• 采购 Bot。自动采购 Bot 旨在当商品或服务打折时进行大批量采购，这些 Bot 会瞬间完成结账过程。其目的是获得对有价值库存的大规模控制，这些库存通常会在二级市场中以有利的价格转售。由于这些 Bot 妨碍了真实购物者的购买，从而导致消费者沮丧和拒绝囤积库存，因为像 NFT 这类的虚拟商品变得不可用。
• 竞价 Bot。这些 Bot 采用虚假出价来操纵 NFT 价格（抬价或降价），这取决于基础转售策略。通过对远低于要价的 NFT 进行大量低价竞标，降价 Bot 可以降低 NFT 的价值，而却没有进行实际购买。加价 Bot 购买低价 NFT，人为制造稀缺性氛围，提高人气，迫使买家为剩余库存支付更多费用，这通常发生在二级市场。最糟糕的情况是，竞价 Bot 可以通过自动竞价战人为地抬高 NFT 的价格。
• 伪造的 NFT Bot。与街头巷尾出售的假劳力士手表一样，Bot 可被用来销售与策略 ID 不相符的非真实 NFT 项目。当消费者从欺诈者手中误买了假的 NFT，退款机会几乎渺茫，而且没有适当的身份验证，也无机会进行合法转售。
• 虚假的促销 Bot。Bot 也可以伪装成钓鱼欺诈，诱使用户点击链接，以利用限时优惠，例如虚假的 YouTube Genesis Mint 通行证。

NFT 市场上的猖獗 Bot 活动散布各种疑虑和猜疑，不仅影响了潜在买家，也对在线销售产品的合法卖家、艺术家、运动员和创意者带来一定影响。恶意 Bot 有可能会阻碍基于区块链的市场发展，如果 NFT 交易所获得了 Bot 温床的称呼，那么Bot 就会威胁到新数字经济最活跃的表现形式之一。

保护市场免受 Bot 的影响

如果您经营一个 NFT 市场或其他 Web3 业务，底线是您的客户期望获享安全、快速且无缝的客户体验，您可以采取一些措施来确保这一点。

F5 与许多顶级 NFT 市场和交易所密切合作，帮助他们从一开始便实施复杂的安全和保障措施，以免受到针对登录的 Bot 攻击，阻止虚假帐户的创建，并防止囤积库存的 Bot 购买库存并抬高 NFT 的价格。

如果您正在考虑为父亲节或毕业礼物赠送推广 NFT，以下几个小贴士请牢记。

• 了解欺诈性新开户的模式并验证新帐户的注册情况
• 评估 Bot 防御策略，以防止复杂的人工模拟自动化和重组
• 通过监控每笔交易是否存在欺诈或风险行为的迹象并加强登录系统以防止撞库攻击，从而避免帐户接管。
• 充分利用身份验证智能来减少用户摩擦并改善客户体验
• 管理您平台上的用户，以确定他们是客户还是 Bot；阻止上游 bot 攻击可帮助您的公司减少下游欺诈
• 探讨如何利用新工具和外部情报支持来加强您的安全和欺诈团队的方法，以领先欺诈分子一步
• 预计犯罪分子将继续重组他们的攻击，因此，您也必须能够快速重组您的防御措施

帮助您的客户保护自己免受网络犯罪分子的侵害

保护并赢得客户的信任至关重要，而这要从教导开始。 以下是您可以与客户分享的一些技巧：

• 考虑硬件钱包。如果使用加密货币购买 NFT，请考虑使用硬件钱包而不是软件钱包来购买和存储 NFT。 硬件钱包是具有专用固件的外部物理设备，可防止私钥被访问，通过保护它们免受 bot 和其他网络攻击，可以显着提高加密货币和 NFT 购买的安全性。
• 始终审查合同。购买 NFT 几乎总是需要与卖家签订“智能合约”。在批准之前，请仔细审查这些在区块链发布的合约，因为它们详细说明了与 NFT 有关的唯一信息，包括所有权和交易细节。了解您所同意的内容，因为智能合约可以指定关于 NFT 和其他所有权的交易规则。
• 注意虚假市场。只考虑从认真对待安全问题和保持交易无 Bot 的良好信誉组织处购买 NFT。
• 了解您的 NFT 市场是如何沟通和联系的，以及如果您的 NFT 被盗，您有什么选择。提前了解您如何与您所在的市场联系以及如果您的 NFT 被盗，您有何追索权，这样可以帮助您抵御网络钓鱼攻击、欺骗和其他欺诈。

如欲了解其他组织如何成功保护其客户和公司免受 Bot 攻击，请浏览 Forrester 撰写的这份 F5 Bot 防御总经济影响报告。

如果您想查看 F5 分布式云 Bot 防御（F5 Distributed Cloud Bot Defense） 的运行情况，请访问 F5 的 DevCentral 以观看演示。

关于在 Bot 防御解决方案中需要寻找什么样的信息，这里有向Bot 缓解供应商询问的十道必答题。