【新手學習】那些駭客「教懂」我的道理與解決辦法

更新於 2024/09/21閱讀時間約 12 分鐘

前言

有天本熊在 OpenSea 上閒逛時,想起自己當初沒有買到藝術向項目 RenArt 的 NFT 後,便到他們的項目 Discord 中看看公售兩個月後的社群狀況,意外發現本來熱鬧的社群已經冷清起來,常見的活動都消失了,只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告,提及項目系統的開發進度,但其熱鬧度實在不如發售之前。
「大概會破發吧?」想著,打開了他們的 OpenSea,果真如此,0.3 ETH 的發售價最終換來了 0.09 ETH 的地板價,而且掛單量十分少,對於一直想要購入這個項目的本熊來說實在吸引。
現在 RenArt 在 OpenSea 上的情況。
於是,二話不說地入金,並在確認那些 NFT 已經被掛賣了數天後,終於把地板價附近的 NFT 都買起來,打算持有一張,其他則繼續掛賣以回本,同時到社群上進行驗證,想要成為當中等待項目繼續發展的一分子。
當時的交易紀錄
誰知到了晚上,本熊的 Discord 中突然出現一則信息,指自己的 NFT 被盜了,希望我可以把今天入手的 NFT 賣回給他。同時,他亦在 RenArt 群中指自己很無助,沒想到幾天沒留意狐狸錢包,因此錢包中的 NFT 早就被盜了也不知道,實在令人無奈。
後來,在計算了入金、購買及掛賣的 Gas Fee 後,本熊幾乎以買入價賣回給對方,並提醒對方必須要把貴重的 NFT 放在冷錢包中,以免再有損失。對方認同,也承諾會在未來購入冷錢包,事情總算告一段落。
然而,上述事件其實帶來了三個問題:
  1. 熱錢包(Hot Wallet)的安全問題;
  2. 持有者對於自己資產的重視程度;
  3. 購買了被盜 NFT 的買家所受的傷害與責任問題。

一、熱錢包的安全問題

雖然本熊不是駭客,但本熊知道對於駭客來說,要盜取如 Metamask、Trust Wallet、Phantom等熱錢包的資產其實可以很簡單,例如:
  • 經由各類型設備上的程式漏洞,盜取以截圖方式紀錄的錢包助記詞,藉此獲得用戶的資產。不少人認為自己的電話、電腦是屬於自己的私人物品,但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此,只要熱錢包所在的儀器出現程式漏洞,駭客就很容易乘虛而入,例如 2022 年 4 月 Apple 就傳出過 iCloud 出現嚴重的保安漏洞,駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞,從而盜走用戶資產(相關新聞);
  • 瀏覽器不時會出現程式漏洞,容易導致狐狸錢包受牽連。作為現時最多人使用的 Chrome 瀏覽器,不時就會冒出要用戶更新瀏覽器的通知,只因不管是開發程式的技術,還是駭客的駭入技巧都日新月異。就在 2022 年 3 月,駭客透過了 Chrome 的漏洞,使用遠端連線將惡意程式碼寫入到用戶的瀏覽器,以及藉由讀取或寫入超出緩衝記憶體,進而使瀏覽器崩潰,順便盜取狐狸錢包的資產;
  • 鏈上系統出現安全漏洞,導致用戶的熱錢包資產被盜。2022 年 8 月,Solana 鏈上出現,使駭客可以從鏈上的多個熱錢包(Phantom 、 Slope 等)中盜取用戶資金,事件中至少有七千多名用戶受影響;
  • 經由駭入某些 NFT 項目的團隊成員 Discord、項目 Facebook、Twitter等,並經項目帳號發放信息,吸引群內成員或一般大眾點擊連結、確認授權,最終導致不少人遇害。十分著名的例子包括了愚人節當天,周杰倫價值超過 50 萬美元的無聊猿 NFT 就是因而被盜;
  • 假裝是正常項目以欺騙人們鑄造 NFT,利用這個方法將有惡意的智能合約與錢包連結,藉此盜取錢包資產。自從 Free-mint 熱潮冒起後,這個情況就經常發生,騙徒會以「Free Mint」、「快速白名單」等方法吸引用戶加入他們的社群,並在公售前定期推出一些小活動讓大家參與,為的就是在項目公售當天吸引大家鑄造,然後盜取這些錢包中的資產;
  • 更多的不明原因。2022 年 5 月 26 日,鏈新聞發了一篇文章,名為《沒有結局的故事,MetaMask 用戶遇駭損失 41 顆以太幣,苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因,例如 Google 帳號被駭及下載了 Google 的擴充套件,但實際上駭客用了何種方法盜取錢包資產依然是一個謎,實在叫人無法放心。

上述眾多情況都說明了重要資產放在熱錢包中,會有數之不盡的風險被盜,這亦令 NFT 圈子變得危機重重。面對著現實上的工作問題、Web 2.0 的社交問題、Web 3.0 的資訊爆炸,背後竟然還要顧及自己的虛擬錢包資產的資安問題,利用檢視智能合約、關閉 Discord 的私訊及加好友功能、對別人提供的連結及資訊提高警覺等,實在令人疲於奔命。

二、持有者對於自己資產的重視程度

熊市來到,幣價從 USD 3,000 以上跌至 USD 1,000 也試過,不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處,都引發了一種名為「無眼睇」的人性現象,即「不想看了」的意思,更甚是「不如一槍打死我」。
這個現象最終導致的,就是人們會傾向迴避所有會令自己憶起慘痛經歷的事物,當中就包括了 NFT、虛擬貨幣等資產,而虛擬錢包,尤其是熱錢包中的資產就是代表物。
結果,這些持有者往往會因為太久沒有檢視自己的虛擬錢包,導致錢包內的資產被盜了很幾天後,才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生,包括值錢的 NFT 有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈,令本來就難以追查的資產下落變得更加無法被追蹤等。
本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地,他們正是十分重視自己的資產,導致眼見的損失成為了心理陰影,從而換來了更大的損失。
事實上,當一個人蝕錢時,不想去面對算是人之常情,但被這種自己無法控制的事情影響心情,導致後來更糟糕的結果,一定是更差勁的結果。因此,本熊還是建議要不就把資產放在更加可靠的地方,如冷錢包,要不就勤加檢查資產的安全,包括定期利用 RevokeEtherscan Token Approval 等網站,將一些不必要的智能合約從自己的虛擬錢包中撤銷。

三、購買了被盜 NFT 的買家所受的傷害與責任問題

在 OpenSea 的海量交易和項目中閒逛時,如果看到了便宜且喜歡的 NFT,想要購買或即時入手算是正常反應,誰知幾天後,以為撿到便宜的 NFT 突然出現了警告標示,這時候買家才發現到原來自己買到的 NFT 是贓物。
2022 年 1 月,一名著名的外國攝影師 MarcoGrassi.eth 就曾經在 OpenSea 上以 1.5 ETH 買入一張名為「alien fren #7085」的 NFT,並在幾小時後將它以 2.9 ETH 轉售。然而,沒想到購入不久後他就收到 OpenSea 的官方通知,指他購入的 NFT 是贓物,並凍結這個 NFT 的交易。
MarcoGrassi.eth 知道後感到不滿,於是在 Twitter 上尋求大家的支持和關注,讓事件被公諸於世。他認為,OpenSea 的做法其實是在懲罰買到贓物的無辜買家,並且對原本的受害者毫無好處,甚至令受害人數從一人增至兩人。對他而言,他所花費的 1.5 ETH 因而被凍結,而真正犯人則拿著他的資產逃之夭夭。
在這個情況之下,又有誰可以保障到這些買家的權益?誰知道那個被低價出售的 NFT,是因為被盜而被轉賣,還是持有者急需用錢而低價出售?在不知情的情況下買到贓物時,買家又到底有沒有責任?不要忘記,即使受害者舉報了也需要時間給平台處理和認證,而在這段「等待」期間,對於網絡活動十分迅速的 Web 3.0 世界來說,已經有機會令無數的人們變成受害者或「共犯」。
本熊想,應該沒有人希望自己在 NFT 世界中購物,最終卻踏進了俄羅斯輪盤的戲碼裡吧?

諸多問題的解決方法:冷錢包

雖然現時並沒有一個解決方法可以十全十美地,讓自己的虛擬資產放置在安全的地方中,情況就跟人們把財產放到了銀行裡,都有可能因為金融問題而變成負資產一樣。但是,我們可以從一大堆的問題中,找出最沒可能或最少可能發生的問題,使自己的資產可以在 90% 以上的安全地方待著。
因此,冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。
事實上,上文中不斷地被提及的「熱錢包」,指的是把資產放在「線上平台」,即必須連接互聯網才能夠使用的虛擬錢包,而「冷錢包」則是相反,用戶可以把資產儲放到不需要連接網絡的實體裝置,如 USB、卡片式錢包等,並確保這些資產被使用、轉移時,都必須經由自己手上的實體裝置進行認證,情況就跟人們會把資產存放在夾萬(保險箱)一樣。
由於駭客的行動十分頻繁,因此現在市面上亦愈來愈多專業團隊,加入了開發冷錢包的行列,目的就是讓 NFT 用家的資產能被保障。
本熊的 SecuX Nifty 冷錢包,
是跟 NFT 項目 Teahouse HighTable 合作的版本,
與 CoolWallet 的卡式錢包一樣帥氣。
除了由法國製造的知名冷錢包品牌 Ledger 之外,還有被稱為十分適合項目方使用的 Trezor、價格比較便宜並由美國製造的 KeepKey,以及由台灣製造的超帥氣卡片式冷錢包 CoolWallet 和以保護 NFT 為主的螢幕顯示式冷錢包 SecuX Nifty 等,都開始因駭客問題,而得以在圈內急速發展起來。
雖然本熊無法 100% 指大家的資產放入冷錢包內就必定安全,但即使是今年 8 月時的 Solana 鏈事件,都沒有任何跡象指出被安放在冷錢包中的資產受到影響,可見冷錢包在保護用戶資產一事上,確實發揮著一定的作用。
再來分享本熊保護自己資產的方法:數個熱錢包,兩個冷錢包。
  1. 熱錢包主要是用來鑄造新項目或在 OpenSea、X2Y2 等二手平台上進行交易時使用的。
  2. 而之所以會有兩個冷錢包,因為第一個冷錢包會作為熱錢包與冷錢包的橋樑被使用,例如有部分 NFT 價值 0.5 ETH 或以上,卻因為 NFT 包含了一些賦能,需要連接網絡時才能夠使用,如通行證類型的 NFT,因此本熊會選擇把有這種需要的 NFT 都放在裡頭;
  3. 第二個冷錢包則屬於純收藏用途。本熊會把一些十分貴重或絕不會轉售的 NFT 放入這個冷錢包中,並定期透過電話 App 或網絡上的鏈上資料,檢視裡面的資產是否安好。
如此一來,本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中,而重要卻又要連接網絡的 NFT 亦受到冷錢包的一定保障,這導致本熊雖然不時會遭遇撞見詐騙事件,但自己的虛擬資產都依然安好。

結論

被騙被盜絕非人們渴望遇到的事,但不幸遇到時冷靜面對,並調整心態,進行事後檢討,才是正確的處事態度。現在,Web 3.0 的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法,但隨著事件愈演愈烈,不少團隊都行動起來,希望可以進一步地確保鏈上人們的資產安全。
但願未來,Web 3.0 的氛圍會變得健康且更加友善。
若然你對於選擇冷錢包一事感到疑惑,不知道要如何選擇才好,又或想閱讀本熊分享冷錢包的使用經驗,歡迎先行追蹤本熊,以免錯過未來更多精彩的分享。

本文章將同時於 MirrorMattersPotato MediaPenana 刊載。
合作活動、文案可電郵聯絡 kumasanki@iboomcreative.com。
本專題會以新手角度,不定期發佈與委託、加密貨幣、區塊鏈、NFT等相關知識文章。 本熊不是專業投資顧問,所以更能夠容易地以個人經驗書寫簡單易明的投資知識文章,歡迎各位閱讀交流。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
結合即將推出的多人在線角色扮演遊戲(MMO)模式、隨機地圖配置、科幻元素及故事背景等,《9Cat》的可玩性和耐玩性十分高。團隊在製作遊戲時,是以遊戲趣味為優先目標來製作的,這跟很多玩法沉悶、界面難用、美術糟糕的 Game-Fi 完全不同。
本熊知道有不少人看到這個字眼時,就已經想要離開,因為大多數人印象中的 Game-Fi 就是沉悶、糟糕又難用,成品像極以前技術未完善時的遊戲時代產物。為什麼人們對 Game-Fi 產生反感呢?遊戲開發商的實際行動又如何顯示出他們的立場呢?本文將會簡單地概括人性如何影響 Game-Fi 的發展。
「現在,VAF 是一個供投資者投資創作者的 NFT。」本熊靠著這簡單的短句,解答了不少在 VAF 公售抱有疑問的人仕。不過,這個解答大概不是 VAF 團隊的理想答案。 9 個月的發展,本熊想借本文章探討 VAF 作為一個 NFT 項目,它的發展和社群狀況變成了什麼模樣,以及提出一些應要改善的地方。
在現代詩句幾乎被現代人忽視,甚至被認為是老土、文皺皺、不設實際的表達方法,但是,本熊在 Web3 的世界中認識了一個喜歡用「詩」跟人們說早安、報新聞、分享新消息的人,他就是 4Ace。這次的《鏈下社群談》本熊邀請了 4Ace 聊聊他在 NFT 圈中的所見所聞,以及在圈子裡獲得了什麼金錢以外的資產。
華人文化有幾個缺點,導致華人經常浮現崇洋心態、比較心態和自卑,大至認為「外國就是特別香」,小至「別人家的孩子就是特別好」,卻忽視了更根本的「個人修為」問題,引致很多不必要的歧視問題發生。事實上,外國 NFT 項目特別香?本文將會用一些例子告訴你。
真的十分感激在這半個月以來,付費訂閱了《熊太投資筆記》的讀者們。但由於本熊尚有其他專題及業務需要推廣,以及因繁忙而很少被更新的其他寫作平台,都是本熊想要繼續或重新經營的項目,因此接下來的日子,《熊太投資筆記》的更新頻率將會由 9 月開始作出更改。
結合即將推出的多人在線角色扮演遊戲(MMO)模式、隨機地圖配置、科幻元素及故事背景等,《9Cat》的可玩性和耐玩性十分高。團隊在製作遊戲時,是以遊戲趣味為優先目標來製作的,這跟很多玩法沉悶、界面難用、美術糟糕的 Game-Fi 完全不同。
本熊知道有不少人看到這個字眼時,就已經想要離開,因為大多數人印象中的 Game-Fi 就是沉悶、糟糕又難用,成品像極以前技術未完善時的遊戲時代產物。為什麼人們對 Game-Fi 產生反感呢?遊戲開發商的實際行動又如何顯示出他們的立場呢?本文將會簡單地概括人性如何影響 Game-Fi 的發展。
「現在,VAF 是一個供投資者投資創作者的 NFT。」本熊靠著這簡單的短句,解答了不少在 VAF 公售抱有疑問的人仕。不過,這個解答大概不是 VAF 團隊的理想答案。 9 個月的發展,本熊想借本文章探討 VAF 作為一個 NFT 項目,它的發展和社群狀況變成了什麼模樣,以及提出一些應要改善的地方。
在現代詩句幾乎被現代人忽視,甚至被認為是老土、文皺皺、不設實際的表達方法,但是,本熊在 Web3 的世界中認識了一個喜歡用「詩」跟人們說早安、報新聞、分享新消息的人,他就是 4Ace。這次的《鏈下社群談》本熊邀請了 4Ace 聊聊他在 NFT 圈中的所見所聞,以及在圈子裡獲得了什麼金錢以外的資產。
華人文化有幾個缺點,導致華人經常浮現崇洋心態、比較心態和自卑,大至認為「外國就是特別香」,小至「別人家的孩子就是特別好」,卻忽視了更根本的「個人修為」問題,引致很多不必要的歧視問題發生。事實上,外國 NFT 項目特別香?本文將會用一些例子告訴你。
真的十分感激在這半個月以來,付費訂閱了《熊太投資筆記》的讀者們。但由於本熊尚有其他專題及業務需要推廣,以及因繁忙而很少被更新的其他寫作平台,都是本熊想要繼續或重新經營的項目,因此接下來的日子,《熊太投資筆記》的更新頻率將會由 9 月開始作出更改。
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
(1) 廣告管理員的使用 (2) 企業管理平台的設定 (3) 各種廣告受眾的建立與使用 興趣、類似、高效、再行銷、客戶檔案... (4) 各種廣告投放目標的差別 曝光、知名度、互動、流量、銷售、影片、APP... (5) 各種廣告素材類型的建立與使用 單一圖
Thumbnail
塔羅新手學習日占法時,往往會遇到不準確的情況。本文解釋了日占不準的原因,並提供了正確的日佔心態和操作模式。日占不需要提前解讀,並建議在早上起床時抽牌。另外,也提供了寫日占記錄的方法。
https://vocus.cc/168money/tagTab/64e4c172fd897800014e4376 也歡迎訂閱講義學習!
Thumbnail
SEO(Search Engine Optimization)是網站提升搜尋引擎排名的關鍵,對於想要在網路世界中脫穎而出的企業而言,學習SEO是一條必經之路。本文將從新手到專家,為你提供一個完整的SEO學習進階指南。 初探SEO的基礎知識 對於SEO初學者,首先要理解搜索引擎如何工作,熟悉基本的
Thumbnail
這篇文章來自吳氏日文,展示了其學生在日語學習上的顯著成就。特別引人注目的是林YC學友,他以創紀錄的最少學習時數(350小時)通過了日語能力測試N1級。這一成就不僅展示了個人的努力,也反映了吳氏日文的高效教學方法。
Thumbnail
Vue.js 基本介紹 Vue.js 是個漸進式 JavaScript 框架 (Progressive JavaScript Framework),用於建立用戶界面。被設計成逐步增強的框架,可輕鬆整合到現有項目中,或從頭構建新的應用程序。 Vue.js 的特點 1. 輕量級:Vue.js 的核心庫非
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
(1) 廣告管理員的使用 (2) 企業管理平台的設定 (3) 各種廣告受眾的建立與使用 興趣、類似、高效、再行銷、客戶檔案... (4) 各種廣告投放目標的差別 曝光、知名度、互動、流量、銷售、影片、APP... (5) 各種廣告素材類型的建立與使用 單一圖
Thumbnail
塔羅新手學習日占法時,往往會遇到不準確的情況。本文解釋了日占不準的原因,並提供了正確的日佔心態和操作模式。日占不需要提前解讀,並建議在早上起床時抽牌。另外,也提供了寫日占記錄的方法。
https://vocus.cc/168money/tagTab/64e4c172fd897800014e4376 也歡迎訂閱講義學習!
Thumbnail
SEO(Search Engine Optimization)是網站提升搜尋引擎排名的關鍵,對於想要在網路世界中脫穎而出的企業而言,學習SEO是一條必經之路。本文將從新手到專家,為你提供一個完整的SEO學習進階指南。 初探SEO的基礎知識 對於SEO初學者,首先要理解搜索引擎如何工作,熟悉基本的
Thumbnail
這篇文章來自吳氏日文,展示了其學生在日語學習上的顯著成就。特別引人注目的是林YC學友,他以創紀錄的最少學習時數(350小時)通過了日語能力測試N1級。這一成就不僅展示了個人的努力,也反映了吳氏日文的高效教學方法。
Thumbnail
Vue.js 基本介紹 Vue.js 是個漸進式 JavaScript 框架 (Progressive JavaScript Framework),用於建立用戶界面。被設計成逐步增強的框架,可輕鬆整合到現有項目中,或從頭構建新的應用程序。 Vue.js 的特點 1. 輕量級:Vue.js 的核心庫非