NFT:新手學習Web3：那些駭客「教懂」我的道理與解決辦法

前言

有天本熊在OpenSea上閑逛時，想起自己當初沒有買到藝術向項目RenArt的NFT后，便到他們的項目Discord中看看公售兩個月后的社群狀況，意外發現本來熱鬧的社群已經冷清起來，常見的活動都消失了，只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告，提及項目系統的開發進度，但其熱鬧度實在不如發售之前。

「大概會破發吧？」想著，打開了他們的OpenSea，果真如此，0.3ETH的發售價最終換來了0.09ETH的地板價，而且掛單量十分少，對于一直想要購入這個項目的本熊來說實在吸引。

現在RenArt在OpenSea上的情況。

于是，二話不說地入金，并在確認那些NFT已經被掛賣了數天后，終于把地板價附近的NFT都買起來，打算持有一張，其他則繼續掛賣以回本，同時到社群上進行驗證，想要成為當中等待項目繼續發展的一分子。

當時的交易紀錄

誰知到了晚上，本熊的Discord中突然出現一則信息，指自己的NFT被盜了，希望我可以把今天入手的NFT賣回給他。同時，他亦在RenArt群中指自己很無助，沒想到幾天沒留意狐貍錢包，因此錢包中的NFT早就被盜了也不知道，實在令人無奈。

ZigZag創始人：已標記1.2萬個女巫地址，將把此部分空投份額返給普通用戶:金色財經報道，ZK Rollup 訂單簿 DEX ZigZag 創始人 Kedar 在社交媒體上稱，目前已經確認了 1.2 萬個女巫地址，女巫的標準是擁有 10 個以上具有完全相同的 L1 + zksync 活動的帳戶，僅用于 3-4 個常規地址的用戶目前沒有被標記。被標記的女巫地址不會發放空投，這部分代幣將以“忠誠用戶空投”的形式返回普通用戶，并且將盡快發布公告。

此前報道，2 月 24 日，ZigZag 公布空投信息，總共 7 輪空投（已進行第一輪空投），共空投約 11 萬個地址，空投總量為 3500 萬 ZZ。[2023/2/27 12:31:55]

后來，在計算了入金、購買及掛賣的GasFee后，本熊幾乎以買入價賣回給對方，并提醒對方必須要把貴重的NFT放在冷錢包中，以免再有損失。對方認同，也承諾會在未來購入冷錢包，事情總算告一段落。

然而，上述事件其實帶來了三個問題：

熱錢包的安全問題；持有者對于自己資產的重視程度；購買了被盜NFT的買家所受的傷害與責任問題。一、熱錢包的安全問題

雖然本熊不是駭客，但本熊知道對于駭客來說，要盜取如Metamask、TrustWallet、Phantom等熱錢包的資產其實可以很簡單，例如：

經由各類型設備上的程式漏洞，盜取以截圖方式紀錄的錢包助記詞，借此獲得用戶的資產。不少人認為自己的電話、電腦是屬于自己的私人物品，但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此，只要熱錢包所在的儀器出現程式漏洞，駭客就很容易乘虛而入，例如2022年4月Apple就傳出過iCloud出現嚴重的保安漏洞，駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞，從而盜走用戶資產；瀏覽器不時會出現程式漏洞，容易導致狐貍錢包受牽連。作為現時最多人使用的Chrome瀏覽器，不時就會冒出要用戶更新瀏覽器的通知，只因不管是開發程式的技術，還是駭客的駭入技巧都日新月異。就在2022年3月，駭客透過了Chrome的漏洞，使用遠端連線將惡意程式碼寫入到用戶的瀏覽器，以及藉由讀取或寫入超出緩沖記憶體，進而使瀏覽器崩潰，順便盜取狐貍錢包的資產；鏈上系統出現安全漏洞，導致用戶的熱錢包資產被盜。2022年8月，Solana鏈上出現，使駭客可以從鏈上的多個熱錢包中盜取用戶資金，事件中至少有七千多名用戶受影響；

智度股份預計2022年虧損逾3.95億元，子公司購買比特幣減值6318.32萬:金色財經報道，1月31日，A股上市公司智度股份（000676）公告稱，預計2022年將由盈轉虧，虧損額達3.05億元至3.95億元。智度股份表示，造成公司業績虧損的主要原因是公司基于謹慎性考慮，對應收款項及合同資產計提減值，并結合年終的復核、測試情況，對無形資產、長期股權投資、商譽計提減值，2022年度擬計提減值準備合計5.6億元。

其中，智度股份稱，公司之子公司智度投資（香港）有限公司向Bit Maintech公司購買云算力服務所產生的數字資產（比特幣）。公司預計，該無形資產存在減值的跡象，預計可收回金額低于其賬面價值。為此，智度股份計提了6318.32萬元的減值準備。[2023/2/2 11:42:43]

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw經由駭入某些NFT項目的團隊成員Discord、項目Facebook、Twitter等，并經項目帳號發放信息，吸引群內成員或一般大眾點擊連結、確認授權，最終導致不少人遇害。十分著名的例子包括了愚人節當天，周杰倫價值超過50萬美元的無聊猿NFT就是因而被盜；

假裝是正常項目以欺騙人們鑄造NFT，利用這個方法將有惡意的智能合約與錢包連結，借此盜取錢包資產。自從Free-mint熱潮冒起后，這個情況就經常發生，騙徒會以「FreeMint」、「快速白名單」等方法吸引用戶加入他們的社群，并在公售前定期推出一些小活動讓大家參與，為的就是在項目公售當天吸引大家鑄造，然后盜取這些錢包中的資產；更多的不明原因。2022年5月26日，鏈新聞發了一篇文章，名為《沒有結局的故事，MetaMask用戶遇駭損失41顆以太幣，苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因，例如Google帳號被駭及下載了Google的擴充套件，但實際上駭客用了何種方法盜取錢包資產依然是一個謎，實在叫人無法放心。上述眾多情況都說明了重要資產放在熱錢包中，會有數之不盡的風險被盜，這亦令NFT圈子變得危機重重。面對著現實上的工作問題、Web2.0的社交問題、Web3.0的資訊爆炸，背后竟然還要顧及自己的虛擬錢包資產的資安問題，利用檢視智能合約、關閉Discord的私訊及加好友功能、對別人提供的連結及資訊提高警覺等，實在令人疲于奔命。

Bitso在阿根廷推出QR加密貨幣支付服務:金色財經報道，拉丁美洲加密貨幣平臺Bitso為阿根廷居民推出了QR加密貨幣支付服務，使這種針對外國游客的新解決方案成為可能。這項本地服務讓阿根廷人通過Bitso應用程序掃描中央銀行支持的其他支付公司的二維碼來支付購物。

去年5月，該公司還啟用了Bitso+功能，允許用戶在應用程序中的合格貨幣余額上獲得高達8%的年回報，保護用戶在國內的購買力。（finextra）[2022/11/10 12:41:06]

二、持有者對于自己資產的重視程度

熊市來到，幣價從USD3,000以上跌至USD1,000也試過，不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處，都引發了一種名為「無眼睇」的人性現象，即「不想看了」的意思，更甚是「不如一槍打死我」。

這個現象最終導致的，就是人們會傾向回避所有會令自己憶起慘痛經歷的事物，當中就包括了NFT、虛擬貨幣等資產，而虛擬錢包，尤其是熱錢包中的資產就是代表物。

結果，這些持有者往往會因為太久沒有檢視自己的虛擬錢包，導致錢包內的資產被盜了很幾天后，才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生，包括值錢的NFT有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈，令本來就難以追查的資產下落變得更加無法被追蹤等。

本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地，他們正是十分重視自己的資產，導致眼見的損失成為了心理陰影，從而換來了更大的損失。

美國參議員Toomey在致美國SEC的信中呼吁就加密執行方法作出答復:7月27日消息，美國參議員 Pat Toomey 在發給美國證券交易委員會主席 Gary Gensler 的一封新信中詢問了 SEC 的執法方式。 他稱該機構的執法監管方法“反復無常且無效”，并認為該機構未能對加密貨幣貸方（如：Celsius和Voyager ）采取行動可能導致其倒閉。

Toomey 在信中說，如果 SEC 對加密公司進行了明確的監管，情況可能會有所不同。（TheBlock）[2022/7/27 2:41:09]

事實上，當一個人蝕錢時，不想去面對算是人之常情，但被這種自己無法控制的事情影響心情，導致后來更糟糕的結果，一定是更差勁的結果。因此，本熊還是建議要不就把資產放在更加可靠的地方，如冷錢包，要不就勤加檢查資產的安全，包括定期利用Revoke、EtherscanTokenApproval等網站，將一些不必要的智能合約從自己的虛擬錢包中撤銷。

三、購買了被盜NFT的買家所受的傷害與責任問題

在OpenSea的海量交易和項目中閑逛時，如果看到了便宜且喜歡的NFT，想要購買或即時入手算是正常反應，誰知幾天后，以為撿到便宜的NFT突然出現了警告標示，這時候買家才發現到原來自己買到的NFT是贓物。

2022年1月，一名著名的外國攝影師MarcoGrassi.eth就曾經在OpenSea上以1.5ETH買入一張名為「alienfren#7085」的NFT，并在幾小時后將它以2.9ETH轉售。然而，沒想到購入不久后他就收到OpenSea的官方通知，指他購入的NFT是贓物，并凍結這個NFT的交易。

Wombat Beta 總鎖倉量達 4000 萬美元，創歷史新高:5月26日消息，由幣安投資的高效多鏈穩定幣兌換協議 Wombat Exchange 上線 Beta 版本后，過去24小時交易量達到了3500萬美元的歷史新高。截止5月25日，Wombat Exchange 的流動性存款上限提高至 4000 萬美元。據悉，Wombat Exchange僅上線一個月，目前TVL已超過AcryptoS 等項目。（Medium）[2022/5/26 3:43:47]

MarcoGrassi.eth知道后感到不滿，于是在Twitter上尋求大家的支持和關注，讓事件被公諸于世。他認為，OpenSea的做法其實是在懲罰買到贓物的無辜買家，并且對原本的受害者毫無好處，甚至令受害人數從一人增至兩人。對他而言，他所花費的1.5ETH因而被凍結，而真正犯人則拿著他的資產逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在這個情況之下，又有誰可以保障到這些買家的權益？誰知道那個被低價出售的NFT，是因為被盜而被轉賣，還是持有者急需用錢而低價出售？在不知情的情況下買到贓物時，買家又到底有沒有責任？不要忘記，即使受害者舉報了也需要時間給平臺處理和認證，而在這段「等待」期間，對于網絡活動十分迅速的Web3.0世界來說，已經有機會令無數的人們變成受害者或「共犯」。

本熊想，應該沒有人希望自己在NFT世界中購物，最終卻踏進了俄羅斯輪盤的戲碼里吧？

諸多問題的解決方法：冷錢包

雖然現時并沒有一個解決方法可以十全十美地，讓自己的虛擬資產放置在安全的地方中，情況就跟人們把財產放到了銀行里，都有可能因為金融問題而變成負資產一樣。但是，我們可以從一大堆的問題中，找出最沒可能或最少可能發生的問題，使自己的資產可以在90％以上的安全地方待著。

因此，冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。

事實上，上文中不斷地被提及的「熱錢包」，指的是把資產放在「線上平臺」，即必須連接互聯網才能夠使用的虛擬錢包，而「冷錢包」則是相反，用戶可以把資產儲放到不需要連接網絡的實體裝置，如USB、卡片式錢包等，并確保這些資產被使用、轉移時，都必須經由自己手上的實體裝置進行認證，情況就跟人們會把資產存放在夾萬一樣。

由于駭客的行動十分頻繁，因此現在市面上亦愈來愈多專業團隊，加入了開發冷錢包的行列，目的就是讓NFT用家的資產能被保障。

本熊的SecuXNifty冷錢包，是跟NFT項目TeahouseHighTable合作的版本，與CoolWallet的卡式錢包一樣帥氣。

除了由法國制造的知名冷錢包品牌Ledger之外，還有被稱為十分適合項目方使用的Trezor、價格比較便宜并由美國制造的KeepKey，以及由臺灣制造的超帥氣卡片式冷錢包CoolWallet和以保護NFT為主的螢幕顯示式冷錢包SecuXNifty等，都開始因駭客問題，而得以在圈內急速發展起來。

雖然本熊無法100%指大家的資產放入冷錢包內就必定安全，但即使是今年8月時的Solana鏈事件，都沒有任何跡象指出被安放在冷錢包中的資產受到影響，可見冷錢包在保護用戶資產一事上，確實發揮著一定的作用。

再來分享本熊保護自己資產的方法：數個熱錢包，兩個冷錢包。

熱錢包主要是用來鑄造新項目或在OpenSea、X2Y2等二手平臺上進行交易時使用的。而之所以會有兩個冷錢包，因為第一個冷錢包會作為熱錢包與冷錢包的橋梁被使用，例如有部分NFT價值0.5ETH或以上，卻因為NFT包含了一些賦能，需要連接網絡時才能夠使用，如通行證類型的NFT，因此本熊會選擇把有這種需要的NFT都放在里頭；第二個冷錢包則屬于純收藏用途。本熊會把一些十分貴重或絕不會轉售的NFT放入這個冷錢包中，并定期透過電話App或網絡上的鏈上資料，檢視里面的資產是否安好。如此一來，本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中，而重要卻又要連接網絡的NFT亦受到冷錢包的一定保障，這導致本熊雖然不時會遭遇撞見詐騙事件，但自己的虛擬資產都依然安好。

結論

被騙被盜絕非人們渴望遇到的事，但不幸遇到時冷靜面對，并調整心態，進行事后檢討，才是正確的處事態度。現在，Web3.0的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法，但隨著事件愈演愈烈，不少團隊都行動起來，希望可以進一步地確保鏈上人們的資產安全。

但愿未來，Web3.0的氛圍會變得健康且更加友善。

Tags：NFTENSETHPENBBNFT幣EOS Se7ensethical僻義Openpay

幣安app官方下載最新版