【新手學習】那些駭客「教懂」我的道理與解決辦法

前言

1. 熱錢包（Hot Wallet）的安全問題；
2. 持有者對於自己資產的重視程度；
3. 購買了被盜 NFT 的買家所受的傷害與責任問題。

一、熱錢包的安全問題

• 經由各類型設備上的程式漏洞，盜取以截圖方式紀錄的錢包助記詞，藉此獲得用戶的資產。不少人認為自己的電話、電腦是屬於自己的私人物品，但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此，只要熱錢包所在的儀器出現程式漏洞，駭客就很容易乘虛而入，例如 2022 年 4 月 Apple 就傳出過 iCloud 出現嚴重的保安漏洞，駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞，從而盜走用戶資產（相關新聞）；
• 瀏覽器不時會出現程式漏洞，容易導致狐狸錢包受牽連。作為現時最多人使用的 Chrome 瀏覽器，不時就會冒出要用戶更新瀏覽器的通知，只因不管是開發程式的技術，還是駭客的駭入技巧都日新月異。就在 2022 年 3 月，駭客透過了 Chrome 的漏洞，使用遠端連線將惡意程式碼寫入到用戶的瀏覽器，以及藉由讀取或寫入超出緩衝記憶體，進而使瀏覽器崩潰，順便盜取狐狸錢包的資產；
• 鏈上系統出現安全漏洞，導致用戶的熱錢包資產被盜。2022 年 8 月，Solana 鏈上出現，使駭客可以從鏈上的多個熱錢包（Phantom 、 Slope 等）中盜取用戶資金，事件中至少有七千多名用戶受影響；

• 經由駭入某些 NFT 項目的團隊成員 Discord、項目 Facebook、Twitter等，並經項目帳號發放信息，吸引群內成員或一般大眾點擊連結、確認授權，最終導致不少人遇害。十分著名的例子包括了愚人節當天，周杰倫價值超過 50 萬美元的無聊猿 NFT 就是因而被盜；
• 假裝是正常項目以欺騙人們鑄造 NFT，利用這個方法將有惡意的智能合約與錢包連結，藉此盜取錢包資產。自從 Free-mint 熱潮冒起後，這個情況就經常發生，騙徒會以「Free Mint」、「快速白名單」等方法吸引用戶加入他們的社群，並在公售前定期推出一些小活動讓大家參與，為的就是在項目公售當天吸引大家鑄造，然後盜取這些錢包中的資產；
• 更多的不明原因。2022 年 5 月 26 日，鏈新聞發了一篇文章，名為《沒有結局的故事，MetaMask 用戶遇駭損失 41 顆以太幣，苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因，例如 Google 帳號被駭及下載了 Google 的擴充套件，但實際上駭客用了何種方法盜取錢包資產依然是一個謎，實在叫人無法放心。

二、持有者對於自己資產的重視程度

三、購買了被盜 NFT 的買家所受的傷害與責任問題

諸多問題的解決方法：冷錢包

1. 熱錢包主要是用來鑄造新項目或在 OpenSea、X2Y2 等二手平台上進行交易時使用的。
2. 而之所以會有兩個冷錢包，因為第一個冷錢包會作為熱錢包與冷錢包的橋樑被使用，例如有部分 NFT 價值 0.5 ETH 或以上，卻因為 NFT 包含了一些賦能，需要連接網絡時才能夠使用，如通行證類型的 NFT，因此本熊會選擇把有這種需要的 NFT 都放在裡頭；
3. 第二個冷錢包則屬於純收藏用途。本熊會把一些十分貴重或絕不會轉售的 NFT 放入這個冷錢包中，並定期透過電話 App 或網絡上的鏈上資料，檢視裡面的資產是否安好。

結論

本文章將同時於 Mirror、Matters、Potato Media 及 Penana 刊載。
合作活動、文案可電郵聯絡 [email protected]。