【新手學習】那些駭客「教懂」我的道理與解決辦法

更新於 發佈於 閱讀時間約 12 分鐘
raw-image

前言

有天本熊在 OpenSea 上閒逛時,想起自己當初沒有買到藝術向項目 RenArt 的 NFT 後,便到他們的項目 Discord 中看看公售兩個月後的社群狀況,意外發現本來熱鬧的社群已經冷清起來,常見的活動都消失了,只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告,提及項目系統的開發進度,但其熱鬧度實在不如發售之前。

「大概會破發吧?」想著,打開了他們的 OpenSea,果真如此,0.3 ETH 的發售價最終換來了 0.09 ETH 的地板價,而且掛單量十分少,對於一直想要購入這個項目的本熊來說實在吸引。

raw-image

於是,二話不說地入金,並在確認那些 NFT 已經被掛賣了數天後,終於把地板價附近的 NFT 都買起來,打算持有一張,其他則繼續掛賣以回本,同時到社群上進行驗證,想要成為當中等待項目繼續發展的一分子。

raw-image

誰知到了晚上,本熊的 Discord 中突然出現一則信息,指自己的 NFT 被盜了,希望我可以把今天入手的 NFT 賣回給他。同時,他亦在 RenArt 群中指自己很無助,沒想到幾天沒留意狐狸錢包,因此錢包中的 NFT 早就被盜了也不知道,實在令人無奈。

後來,在計算了入金、購買及掛賣的 Gas Fee 後,本熊幾乎以買入價賣回給對方,並提醒對方必須要把貴重的 NFT 放在冷錢包中,以免再有損失。對方認同,也承諾會在未來購入冷錢包,事情總算告一段落。

然而,上述事件其實帶來了三個問題:

  1. 熱錢包(Hot Wallet)的安全問題;
  2. 持有者對於自己資產的重視程度;
  3. 購買了被盜 NFT 的買家所受的傷害與責任問題。

一、熱錢包的安全問題

雖然本熊不是駭客,但本熊知道對於駭客來說,要盜取如 Metamask、Trust Wallet、Phantom等熱錢包的資產其實可以很簡單,例如:

  • 經由各類型設備上的程式漏洞,盜取以截圖方式紀錄的錢包助記詞,藉此獲得用戶的資產。不少人認為自己的電話、電腦是屬於自己的私人物品,但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此,只要熱錢包所在的儀器出現程式漏洞,駭客就很容易乘虛而入,例如 2022 年 4 月 Apple 就傳出過 iCloud 出現嚴重的保安漏洞,駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞,從而盜走用戶資產(相關新聞);
  • 瀏覽器不時會出現程式漏洞,容易導致狐狸錢包受牽連。作為現時最多人使用的 Chrome 瀏覽器,不時就會冒出要用戶更新瀏覽器的通知,只因不管是開發程式的技術,還是駭客的駭入技巧都日新月異。就在 2022 年 3 月,駭客透過了 Chrome 的漏洞,使用遠端連線將惡意程式碼寫入到用戶的瀏覽器,以及藉由讀取或寫入超出緩衝記憶體,進而使瀏覽器崩潰,順便盜取狐狸錢包的資產;
  • 鏈上系統出現安全漏洞,導致用戶的熱錢包資產被盜。2022 年 8 月,Solana 鏈上出現,使駭客可以從鏈上的多個熱錢包(Phantom 、 Slope 等)中盜取用戶資金,事件中至少有七千多名用戶受影響;



  • 經由駭入某些 NFT 項目的團隊成員 Discord、項目 Facebook、Twitter等,並經項目帳號發放信息,吸引群內成員或一般大眾點擊連結、確認授權,最終導致不少人遇害。十分著名的例子包括了愚人節當天,周杰倫價值超過 50 萬美元的無聊猿 NFT 就是因而被盜;
  • 假裝是正常項目以欺騙人們鑄造 NFT,利用這個方法將有惡意的智能合約與錢包連結,藉此盜取錢包資產。自從 Free-mint 熱潮冒起後,這個情況就經常發生,騙徒會以「Free Mint」、「快速白名單」等方法吸引用戶加入他們的社群,並在公售前定期推出一些小活動讓大家參與,為的就是在項目公售當天吸引大家鑄造,然後盜取這些錢包中的資產;
  • 更多的不明原因。2022 年 5 月 26 日,鏈新聞發了一篇文章,名為《沒有結局的故事,MetaMask 用戶遇駭損失 41 顆以太幣,苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因,例如 Google 帳號被駭及下載了 Google 的擴充套件,但實際上駭客用了何種方法盜取錢包資產依然是一個謎,實在叫人無法放心。
raw-image


上述眾多情況都說明了重要資產放在熱錢包中,會有數之不盡的風險被盜,這亦令 NFT 圈子變得危機重重。面對著現實上的工作問題、Web 2.0 的社交問題、Web 3.0 的資訊爆炸,背後竟然還要顧及自己的虛擬錢包資產的資安問題,利用檢視智能合約、關閉 Discord 的私訊及加好友功能、對別人提供的連結及資訊提高警覺等,實在令人疲於奔命。


二、持有者對於自己資產的重視程度

熊市來到,幣價從 USD 3,000 以上跌至 USD 1,000 也試過,不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處,都引發了一種名為「無眼睇」的人性現象,即「不想看了」的意思,更甚是「不如一槍打死我」。

raw-image


這個現象最終導致的,就是人們會傾向迴避所有會令自己憶起慘痛經歷的事物,當中就包括了 NFT、虛擬貨幣等資產,而虛擬錢包,尤其是熱錢包中的資產就是代表物。

結果,這些持有者往往會因為太久沒有檢視自己的虛擬錢包,導致錢包內的資產被盜了很幾天後,才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生,包括值錢的 NFT 有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈,令本來就難以追查的資產下落變得更加無法被追蹤等。

本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地,他們正是十分重視自己的資產,導致眼見的損失成為了心理陰影,從而換來了更大的損失。

事實上,當一個人蝕錢時,不想去面對算是人之常情,但被這種自己無法控制的事情影響心情,導致後來更糟糕的結果,一定是更差勁的結果。因此,本熊還是建議要不就把資產放在更加可靠的地方,如冷錢包,要不就勤加檢查資產的安全,包括定期利用 RevokeEtherscan Token Approval 等網站,將一些不必要的智能合約從自己的虛擬錢包中撤銷。


三、購買了被盜 NFT 的買家所受的傷害與責任問題

在 OpenSea 的海量交易和項目中閒逛時,如果看到了便宜且喜歡的 NFT,想要購買或即時入手算是正常反應,誰知幾天後,以為撿到便宜的 NFT 突然出現了警告標示,這時候買家才發現到原來自己買到的 NFT 是贓物。

2022 年 1 月,一名著名的外國攝影師 MarcoGrassi.eth 就曾經在 OpenSea 上以 1.5 ETH 買入一張名為「alien fren #7085」的 NFT,並在幾小時後將它以 2.9 ETH 轉售。然而,沒想到購入不久後他就收到 OpenSea 的官方通知,指他購入的 NFT 是贓物,並凍結這個 NFT 的交易。

raw-image

MarcoGrassi.eth 知道後感到不滿,於是在 Twitter 上尋求大家的支持和關注,讓事件被公諸於世。他認為,OpenSea 的做法其實是在懲罰買到贓物的無辜買家,並且對原本的受害者毫無好處,甚至令受害人數從一人增至兩人。對他而言,他所花費的 1.5 ETH 因而被凍結,而真正犯人則拿著他的資產逃之夭夭。



在這個情況之下,又有誰可以保障到這些買家的權益?誰知道那個被低價出售的 NFT,是因為被盜而被轉賣,還是持有者急需用錢而低價出售?在不知情的情況下買到贓物時,買家又到底有沒有責任?不要忘記,即使受害者舉報了也需要時間給平台處理和認證,而在這段「等待」期間,對於網絡活動十分迅速的 Web 3.0 世界來說,已經有機會令無數的人們變成受害者或「共犯」。

本熊想,應該沒有人希望自己在 NFT 世界中購物,最終卻踏進了俄羅斯輪盤的戲碼裡吧?


諸多問題的解決方法:冷錢包

雖然現時並沒有一個解決方法可以十全十美地,讓自己的虛擬資產放置在安全的地方中,情況就跟人們把財產放到了銀行裡,都有可能因為金融問題而變成負資產一樣。但是,我們可以從一大堆的問題中,找出最沒可能或最少可能發生的問題,使自己的資產可以在 90% 以上的安全地方待著。

因此,冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。

事實上,上文中不斷地被提及的「熱錢包」,指的是把資產放在「線上平台」,即必須連接互聯網才能夠使用的虛擬錢包,而「冷錢包」則是相反,用戶可以把資產儲放到不需要連接網絡的實體裝置,如 USB、卡片式錢包等,並確保這些資產被使用、轉移時,都必須經由自己手上的實體裝置進行認證,情況就跟人們會把資產存放在夾萬(保險箱)一樣。

由於駭客的行動十分頻繁,因此現在市面上亦愈來愈多專業團隊,加入了開發冷錢包的行列,目的就是讓 NFT 用家的資產能被保障。

raw-image

除了由法國製造的知名冷錢包品牌 Ledger 之外,還有被稱為十分適合項目方使用的 Trezor、價格比較便宜並由美國製造的 KeepKey,以及由台灣製造的超帥氣卡片式冷錢包 CoolWallet 和以保護 NFT 為主的螢幕顯示式冷錢包 SecuX Nifty 等,都開始因駭客問題,而得以在圈內急速發展起來。

雖然本熊無法 100% 指大家的資產放入冷錢包內就必定安全,但即使是今年 8 月時的 Solana 鏈事件,都沒有任何跡象指出被安放在冷錢包中的資產受到影響,可見冷錢包在保護用戶資產一事上,確實發揮著一定的作用。

再來分享本熊保護自己資產的方法:數個熱錢包,兩個冷錢包。

  1. 熱錢包主要是用來鑄造新項目或在 OpenSea、X2Y2 等二手平台上進行交易時使用的。
  2. 而之所以會有兩個冷錢包,因為第一個冷錢包會作為熱錢包與冷錢包的橋樑被使用,例如有部分 NFT 價值 0.5 ETH 或以上,卻因為 NFT 包含了一些賦能,需要連接網絡時才能夠使用,如通行證類型的 NFT,因此本熊會選擇把有這種需要的 NFT 都放在裡頭;
  3. 第二個冷錢包則屬於純收藏用途。本熊會把一些十分貴重或絕不會轉售的 NFT 放入這個冷錢包中,並定期透過電話 App 或網絡上的鏈上資料,檢視裡面的資產是否安好。

如此一來,本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中,而重要卻又要連接網絡的 NFT 亦受到冷錢包的一定保障,這導致本熊雖然不時會遭遇撞見詐騙事件,但自己的虛擬資產都依然安好。


結論

被騙被盜絕非人們渴望遇到的事,但不幸遇到時冷靜面對,並調整心態,進行事後檢討,才是正確的處事態度。現在,Web 3.0 的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法,但隨著事件愈演愈烈,不少團隊都行動起來,希望可以進一步地確保鏈上人們的資產安全。

但願未來,Web 3.0 的氛圍會變得健康且更加友善。

若然你對於選擇冷錢包一事感到疑惑,不知道要如何選擇才好,又或想閱讀本熊分享冷錢包的使用經驗,歡迎先行追蹤本熊,以免錯過未來更多精彩的分享。


本文章將同時於 MirrorMattersPotato MediaPenana 刊載。
合作活動、文案可電郵聯絡 kumasanki@iboomcreative.com。

Discord 社群TwitterPotato Media插畫排版委託Ko-fiPaypal 打賞

留言
avatar-img
留言分享你的想法!
avatar-img
Web3的創作日常交流中心
57會員
199內容數
本專題會以新手角度,不定期發佈與委託、加密貨幣、區塊鏈、NFT等相關知識文章。 本熊不是專業投資顧問,所以更能夠容易地以個人經驗書寫簡單易明的投資知識文章,歡迎各位閱讀交流。
2023/05/01
《W3展報》是一個重視美術及文章可讀性、並以繁體中文報導NFT相關新聞的媒體項目。配合Read2Plant養成遊戲《閱蒔計劃》,《W3展報》一方面為繁體中文使用者搜羅持續耕耘的NFT項目、報導NFT相關動向等,一方面以遊戲方式向讀者、合作夥伴發放回饋,以鼓勵讀者主動分享情報,及閱讀報導、研究論文等。
Thumbnail
2023/05/01
《W3展報》是一個重視美術及文章可讀性、並以繁體中文報導NFT相關新聞的媒體項目。配合Read2Plant養成遊戲《閱蒔計劃》,《W3展報》一方面為繁體中文使用者搜羅持續耕耘的NFT項目、報導NFT相關動向等,一方面以遊戲方式向讀者、合作夥伴發放回饋,以鼓勵讀者主動分享情報,及閱讀報導、研究論文等。
Thumbnail
2023/04/14
NFT 創作給了勇於挑戰的藝術家全新的機會,讓他們能夠運用區塊鏈技術創造及展示自己的數位藝術品。本文將介紹 NFT 創作自 2021 年以來的變化與演進,詳細解釋為何創作者必須認識 NFT 這個新的內容媒介,以及 NFT 創作能帶來的各種好處。
Thumbnail
2023/04/14
NFT 創作給了勇於挑戰的藝術家全新的機會,讓他們能夠運用區塊鏈技術創造及展示自己的數位藝術品。本文將介紹 NFT 創作自 2021 年以來的變化與演進,詳細解釋為何創作者必須認識 NFT 這個新的內容媒介,以及 NFT 創作能帶來的各種好處。
Thumbnail
2023/04/08
你有試過因為更換電腦或創作平台關閉,而導致心愛的文章消息在掌心上的感受嗎?現時的寫作 NFT 正可以解決這個問題。現階段的寫作 NFT 更像是「書籤 NFT」,不管是哪個寫作或創作平台的 NFT,都滿有默契地有著「書籤」的作用。同時,由於它是一種 NFT,也自然起到了協助創作者賺錢或推廣的作用。
Thumbnail
2023/04/08
你有試過因為更換電腦或創作平台關閉,而導致心愛的文章消息在掌心上的感受嗎?現時的寫作 NFT 正可以解決這個問題。現階段的寫作 NFT 更像是「書籤 NFT」,不管是哪個寫作或創作平台的 NFT,都滿有默契地有著「書籤」的作用。同時,由於它是一種 NFT,也自然起到了協助創作者賺錢或推廣的作用。
Thumbnail
看更多
你可能也想看
Thumbnail
👜簡單生活,從整理包包開始!我的三款愛用包+隨身小物清單開箱,一起來看看我每天都帶些什麼吧🌿✨
Thumbnail
👜簡單生活,從整理包包開始!我的三款愛用包+隨身小物清單開箱,一起來看看我每天都帶些什麼吧🌿✨
Thumbnail
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
Thumbnail
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
Thumbnail
近期藝人、網紅們和幣圈資深玩家的虛擬貨幣錢包被盜,裡面的NFT或虛擬貨幣被轉走的案件頻傳,動輒損失幾千萬,擔心自己成為下一個受害者?趕快跟著防詐達人了解MetaMask小狐狸錢包是什麼?它如何運作?以及詐騙集團是用什麼手法把你的錢包騙到手的?看完這個MetaMask懶人包再也不擔心錢包被盜
Thumbnail
近期藝人、網紅們和幣圈資深玩家的虛擬貨幣錢包被盜,裡面的NFT或虛擬貨幣被轉走的案件頻傳,動輒損失幾千萬,擔心自己成為下一個受害者?趕快跟著防詐達人了解MetaMask小狐狸錢包是什麼?它如何運作?以及詐騙集團是用什麼手法把你的錢包騙到手的?看完這個MetaMask懶人包再也不擔心錢包被盜
Thumbnail
還在思考著新年第一篇要寫什麼,剛好馬上就碰到空投詐騙了⋯ 😨 之前介紹過有關擼空投的文章,也提過擼空投的詐騙風險,沒想到 2023 年才過 15 分鐘,馬上就碰到了⋯
Thumbnail
還在思考著新年第一篇要寫什麼,剛好馬上就碰到空投詐騙了⋯ 😨 之前介紹過有關擼空投的文章,也提過擼空投的詐騙風險,沒想到 2023 年才過 15 分鐘,馬上就碰到了⋯
Thumbnail
看完上一篇NFT的7大缺點,我們就來看看最常見的8種NFT騙局吧!來作為借鑑
Thumbnail
看完上一篇NFT的7大缺點,我們就來看看最常見的8種NFT騙局吧!來作為借鑑
Thumbnail
被騙被盜絕不非人們渴望遇到的事,但不幸遇到時冷靜面對,並調整心態,進行事後檢討,才是正確的處事態度。
Thumbnail
被騙被盜絕不非人們渴望遇到的事,但不幸遇到時冷靜面對,並調整心態,進行事後檢討,才是正確的處事態度。
Thumbnail
單集介紹: 在投資、研究NFT的過程中,應該或多或少經歷或聽過誰被詐騙、誰NFT被盜,有時候精美的網頁、華麗的ROADMAP故事看了讓人心動,mint下去卻發現不只什麼也沒有,連你的NFT及資產也都轉給別人了。 隨著資安意識提高,幾乎有在研究的朋友都買了冷錢包儲存自己的資產,但,這樣就夠了嗎?
Thumbnail
單集介紹: 在投資、研究NFT的過程中,應該或多或少經歷或聽過誰被詐騙、誰NFT被盜,有時候精美的網頁、華麗的ROADMAP故事看了讓人心動,mint下去卻發現不只什麼也沒有,連你的NFT及資產也都轉給別人了。 隨著資安意識提高,幾乎有在研究的朋友都買了冷錢包儲存自己的資產,但,這樣就夠了嗎?
Thumbnail
以色列資安公司日前發佈一份報告,警告知名的 NFT 交易平台 Rarible 存在漏洞,可讓用戶的資產瞬間化為烏有,而周杰倫的 NFT 就是以這樣的方式被偷走的!
Thumbnail
以色列資安公司日前發佈一份報告,警告知名的 NFT 交易平台 Rarible 存在漏洞,可讓用戶的資產瞬間化為烏有,而周杰倫的 NFT 就是以這樣的方式被偷走的!
Thumbnail
有些人說:不接近就不會受傷。但這句話到底是扼殺著一個給予自己的可能性,抹煞了一個團隊的努力,還是一個不想要離開舒適圈的借口呢?為什麼每月都有這麼多的被盜新聞,圈內人仍然選擇待在圈中,而且有更多的人正嘗試加入呢?到底要如何去避免自己受騙或被割,但又不會錯過那些擁有潛在價值的實力團體及 NFT 呢?
Thumbnail
有些人說:不接近就不會受傷。但這句話到底是扼殺著一個給予自己的可能性,抹煞了一個團隊的努力,還是一個不想要離開舒適圈的借口呢?為什麼每月都有這麼多的被盜新聞,圈內人仍然選擇待在圈中,而且有更多的人正嘗試加入呢?到底要如何去避免自己受騙或被割,但又不會錯過那些擁有潛在價值的實力團體及 NFT 呢?
Thumbnail
最近因為發生了周董的錢包的NFT被盜走的事件,這邊就來講講冷熱錢包的重要性以及錢包授權的問題。因為看起來是被所謂的科學家盜走了記住詞才會造成這樣的。 錢包 因為網路上隨便找就有人跟你解釋冷熱錢包及 gas fee 這邊就不詳解,主要來勸世...XD。 冷錢包:簡單來說就是個離線錢包,像是你家金庫
Thumbnail
最近因為發生了周董的錢包的NFT被盜走的事件,這邊就來講講冷熱錢包的重要性以及錢包授權的問題。因為看起來是被所謂的科學家盜走了記住詞才會造成這樣的。 錢包 因為網路上隨便找就有人跟你解釋冷熱錢包及 gas fee 這邊就不詳解,主要來勸世...XD。 冷錢包:簡單來說就是個離線錢包,像是你家金庫
Thumbnail
這個文章會有點長,但我能夠保證一件事情 看完文章並且有把這些話記在心裡,你可以躲過很多的駭客 也可以躲過很多得詐騙你一定會少賠很多錢 1.請先準備一台乾淨的電腦 你不一定要買全新的,但是你一定要,把你準備買NFT的電腦拿去重灌 這樣做是為了把你電腦裡面有可能存在的病毒和釣魚網站全部都清空
Thumbnail
這個文章會有點長,但我能夠保證一件事情 看完文章並且有把這些話記在心裡,你可以躲過很多的駭客 也可以躲過很多得詐騙你一定會少賠很多錢 1.請先準備一台乾淨的電腦 你不一定要買全新的,但是你一定要,把你準備買NFT的電腦拿去重灌 這樣做是為了把你電腦裡面有可能存在的病毒和釣魚網站全部都清空
Thumbnail
駭客近日藉著 OpenSea 新合約遷移的名義向用戶發送釣魚郵件,當用 戶點選郵件中的連結並簽署訊息後,等同於賦予駭客轉移 NFT 的權限。
Thumbnail
駭客近日藉著 OpenSea 新合約遷移的名義向用戶發送釣魚郵件,當用 戶點選郵件中的連結並簽署訊息後,等同於賦予駭客轉移 NFT 的權限。
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News