NFT:新手學習Web3：那些駭客「教懂」我的道理與解決辦法_OpenSea

前言

有天本熊在OpenSea上閑逛時，想起自己當初沒有買到藝術向項目RenArt的NFT后，便到他們的項目Discord中看看公售兩個月后的社群狀況，意外發現本來熱鬧的社群已經冷清起來，常見的活動都消失了，只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告，提及項目系統的開發進度，但其熱鬧度實在不如發售之前。

「大概會破發吧？」想著，打開了他們的OpenSea，果真如此，0.3ETH的發售價最終換來了0.09ETH的地板價，而且掛單量十分少，對于一直想要購入這個項目的本熊來說實在吸引。

現在RenArt在OpenSea上的情況。

于是，二話不說地入金，并在確認那些NFT已經被掛賣了數天后，終于把地板價附近的NFT都買起來，打算持有一張，其他則繼續掛賣以回本，同時到社群上進行驗證，想要成為當中等待項目繼續發展的一分子。

當時的交易紀錄

誰知到了晚上，本熊的Discord中突然出現一則信息，指自己的NFT被盜了，希望我可以把今天入手的NFT賣回給他。同時，他亦在RenArt群中指自己很無助，沒想到幾天沒留意狐貍錢包，因此錢包中的NFT早就被盜了也不知道，實在令人無奈。

BNO遭遇閃電貸攻擊，其代幣下跌超98%:金色財經消息，據CertiK官方推特發布消息稱，BNO (BNO)代幣的價格驟然下跌超98%。據悉，本次下跌是由于其遭到約50.5萬美元的閃電貸攻擊。[2023/7/18 11:01:53]

后來，在計算了入金、購買及掛賣的GasFee后，本熊幾乎以買入價賣回給對方，并提醒對方必須要把貴重的NFT放在冷錢包中，以免再有損失。對方認同，也承諾會在未來購入冷錢包，事情總算告一段落。

然而，上述事件其實帶來了三個問題：

熱錢包的安全問題；持有者對于自己資產的重視程度；購買了被盜NFT的買家所受的傷害與責任問題。一、熱錢包的安全問題

雖然本熊不是駭客，但本熊知道對于駭客來說，要盜取如Metamask、TrustWallet、Phantom等熱錢包的資產其實可以很簡單，例如：

經由各類型設備上的程式漏洞，盜取以截圖方式紀錄的錢包助記詞，借此獲得用戶的資產。不少人認為自己的電話、電腦是屬于自己的私人物品，但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此，只要熱錢包所在的儀器出現程式漏洞，駭客就很容易乘虛而入，例如2022年4月Apple就傳出過iCloud出現嚴重的保安漏洞，駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞，從而盜走用戶資產；瀏覽器不時會出現程式漏洞，容易導致狐貍錢包受牽連。作為現時最多人使用的Chrome瀏覽器，不時就會冒出要用戶更新瀏覽器的通知，只因不管是開發程式的技術，還是駭客的駭入技巧都日新月異。就在2022年3月，駭客透過了Chrome的漏洞，使用遠端連線將惡意程式碼寫入到用戶的瀏覽器，以及藉由讀取或寫入超出緩沖記憶體，進而使瀏覽器崩潰，順便盜取狐貍錢包的資產；鏈上系統出現安全漏洞，導致用戶的熱錢包資產被盜。2022年8月，Solana鏈上出現，使駭客可以從鏈上的多個熱錢包中盜取用戶資金，事件中至少有七千多名用戶受影響；

Blur Dao發起“讓社區決策哪些NFT項目能被列入Blend”的提案:5月10日消息，SnapShot投票頁面顯示，Clairvoyant Labs在Blur Dao發起“添加治理權力：Blend上線批準”的提案，建議讓Blur社區更多地參與決定哪些NFT項目能被列入借貸協議Blend。該提案將于5月11日開啟投票，并將于5月25日結束。

Clairvoyant Labs表示：“關于Blur宣布Blend支持新NFT系列DeGod，官網公告比推特公告提前了五分鐘，因此認為更多的NFT社區參與將有助于避免此類事件的發生。”提案提議所有Blend上線NFT的提案最初都發布在研究論壇上，并進行至少3天的討論，再經過為期7天的快照投票期。提案門檻為10萬枚BLUR，投票有效門檻為超過3000萬枚BLUR投贊成票。

此前消息，Clairvoyant Labs昨日再次從OKX提出186萬枚BLUR。[2023/5/10 14:53:29]

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw經由駭入某些NFT項目的團隊成員Discord、項目Facebook、Twitter等，并經項目帳號發放信息，吸引群內成員或一般大眾點擊連結、確認授權，最終導致不少人遇害。十分著名的例子包括了愚人節當天，周杰倫價值超過50萬美元的無聊猿NFT就是因而被盜；

非托管流動性質押平臺 ether.fi 將于 5 月首周上線主網:4月23日消息，非托管流動性質押平臺ether.fi宣布將于5月1日當周上線主網。ether.fi展示了運行完整節點的流程。ether.fi允許用戶保持對其密鑰的控制，同時將以太坊驗證器操作委托給節點操作員。

此前報道，今年2月份，Ether.Fi完成530萬美元融資，NorthIsland Ventures、Chapter One和Node Capital共同領投，BitMex創始人Arthur Hayes參投。[2023/4/23 14:20:59]

假裝是正常項目以欺騙人們鑄造NFT，利用這個方法將有惡意的智能合約與錢包連結，借此盜取錢包資產。自從Free-mint熱潮冒起后，這個情況就經常發生，騙徒會以「FreeMint」、「快速白名單」等方法吸引用戶加入他們的社群，并在公售前定期推出一些小活動讓大家參與，為的就是在項目公售當天吸引大家鑄造，然后盜取這些錢包中的資產；更多的不明原因。2022年5月26日，鏈新聞發了一篇文章，名為《沒有結局的故事，MetaMask用戶遇駭損失41顆以太幣，苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因，例如Google帳號被駭及下載了Google的擴充套件，但實際上駭客用了何種方法盜取錢包資產依然是一個謎，實在叫人無法放心。上述眾多情況都說明了重要資產放在熱錢包中，會有數之不盡的風險被盜，這亦令NFT圈子變得危機重重。面對著現實上的工作問題、Web2.0的社交問題、Web3.0的資訊爆炸，背后竟然還要顧及自己的虛擬錢包資產的資安問題，利用檢視智能合約、關閉Discord的私訊及加好友功能、對別人提供的連結及資訊提高警覺等，實在令人疲于奔命。

遠光軟件：公司區塊鏈技術可以完全滿足各行業的數據確權及相關的應用需求:12月25日消息，遠光軟件在互動平臺表示，區塊鏈技術可以為包括數據在內的各類型數字資產的確權提供安全和信任支持。公司區塊鏈技術可以完全滿足各行業的數據確權及相關的應用需求，在供應鏈金融、數據安全共享、清潔能源應用、虛擬電廠及碳資產等方向有廣泛使用，通過讓區塊鏈技術服務于數據資產形成及應用的全環節，推動數據資產價值形成與應用，助力企業數字化轉型升級。[2022/12/25 22:06:46]

二、持有者對于自己資產的重視程度

熊市來到，幣價從USD3,000以上跌至USD1,000也試過，不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處，都引發了一種名為「無眼睇」的人性現象，即「不想看了」的意思，更甚是「不如一槍打死我」。

這個現象最終導致的，就是人們會傾向回避所有會令自己憶起慘痛經歷的事物，當中就包括了NFT、虛擬貨幣等資產，而虛擬錢包，尤其是熱錢包中的資產就是代表物。

結果，這些持有者往往會因為太久沒有檢視自己的虛擬錢包，導致錢包內的資產被盜了很幾天后，才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生，包括值錢的NFT有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈，令本來就難以追查的資產下落變得更加無法被追蹤等。

本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地，他們正是十分重視自己的資產，導致眼見的損失成為了心理陰影，從而換來了更大的損失。

比特幣礦企Argo將2022年算力目標預估下調42%:金色財經報道，比特幣礦企Argo Blockchain周三表示，該公司計劃到2022年底達到每秒3.2 exahash（EH/s）的哈希率。這比它此前公布的5.5 EH/s下降了41.8% 。7月底，Argo的算力為2.2 EH/s。Argo首席執行官Peter Wall在提交給美國證券交易委員會（SEC）的文件中表示，這一變化反映出當前公司對英特爾Blockscale ASIC芯片的交付以及部署定制機器的預期。

Wall說：“我們已經與ePIC和英特爾密切合作，修改機器設計以提高總的采礦效率，這推遲了我們的預期部署時間。此外，由于市場條件仍然不穩定，我們正在通過減少這些機器的總體支出來保留我們的可選擇性。”（The Block）[2022/8/25 12:46:47]

事實上，當一個人蝕錢時，不想去面對算是人之常情，但被這種自己無法控制的事情影響心情，導致后來更糟糕的結果，一定是更差勁的結果。因此，本熊還是建議要不就把資產放在更加可靠的地方，如冷錢包，要不就勤加檢查資產的安全，包括定期利用Revoke、EtherscanTokenApproval等網站，將一些不必要的智能合約從自己的虛擬錢包中撤銷。

三、購買了被盜NFT的買家所受的傷害與責任問題

在OpenSea的海量交易和項目中閑逛時，如果看到了便宜且喜歡的NFT，想要購買或即時入手算是正常反應，誰知幾天后，以為撿到便宜的NFT突然出現了警告標示，這時候買家才發現到原來自己買到的NFT是贓物。

2022年1月，一名著名的外國攝影師MarcoGrassi.eth就曾經在OpenSea上以1.5ETH買入一張名為「alienfren#7085」的NFT，并在幾小時后將它以2.9ETH轉售。然而，沒想到購入不久后他就收到OpenSea的官方通知，指他購入的NFT是贓物，并凍結這個NFT的交易。

MarcoGrassi.eth知道后感到不滿，于是在Twitter上尋求大家的支持和關注，讓事件被公諸于世。他認為，OpenSea的做法其實是在懲罰買到贓物的無辜買家，并且對原本的受害者毫無好處，甚至令受害人數從一人增至兩人。對他而言，他所花費的1.5ETH因而被凍結，而真正犯人則拿著他的資產逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在這個情況之下，又有誰可以保障到這些買家的權益？誰知道那個被低價出售的NFT，是因為被盜而被轉賣，還是持有者急需用錢而低價出售？在不知情的情況下買到贓物時，買家又到底有沒有責任？不要忘記，即使受害者舉報了也需要時間給平臺處理和認證，而在這段「等待」期間，對于網絡活動十分迅速的Web3.0世界來說，已經有機會令無數的人們變成受害者或「共犯」。

本熊想，應該沒有人希望自己在NFT世界中購物，最終卻踏進了俄羅斯輪盤的戲碼里吧？

諸多問題的解決方法：冷錢包

雖然現時并沒有一個解決方法可以十全十美地，讓自己的虛擬資產放置在安全的地方中，情況就跟人們把財產放到了銀行里，都有可能因為金融問題而變成負資產一樣。但是，我們可以從一大堆的問題中，找出最沒可能或最少可能發生的問題，使自己的資產可以在90％以上的安全地方待著。

因此，冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。

事實上，上文中不斷地被提及的「熱錢包」，指的是把資產放在「線上平臺」，即必須連接互聯網才能夠使用的虛擬錢包，而「冷錢包」則是相反，用戶可以把資產儲放到不需要連接網絡的實體裝置，如USB、卡片式錢包等，并確保這些資產被使用、轉移時，都必須經由自己手上的實體裝置進行認證，情況就跟人們會把資產存放在夾萬一樣。

由于駭客的行動十分頻繁，因此現在市面上亦愈來愈多專業團隊，加入了開發冷錢包的行列，目的就是讓NFT用家的資產能被保障。

本熊的SecuXNifty冷錢包，是跟NFT項目TeahouseHighTable合作的版本，與CoolWallet的卡式錢包一樣帥氣。

除了由法國制造的知名冷錢包品牌Ledger之外，還有被稱為十分適合項目方使用的Trezor、價格比較便宜并由美國制造的KeepKey，以及由臺灣制造的超帥氣卡片式冷錢包CoolWallet和以保護NFT為主的螢幕顯示式冷錢包SecuXNifty等，都開始因駭客問題，而得以在圈內急速發展起來。

雖然本熊無法100%指大家的資產放入冷錢包內就必定安全，但即使是今年8月時的Solana鏈事件，都沒有任何跡象指出被安放在冷錢包中的資產受到影響，可見冷錢包在保護用戶資產一事上，確實發揮著一定的作用。

再來分享本熊保護自己資產的方法：數個熱錢包，兩個冷錢包。

熱錢包主要是用來鑄造新項目或在OpenSea、X2Y2等二手平臺上進行交易時使用的。而之所以會有兩個冷錢包，因為第一個冷錢包會作為熱錢包與冷錢包的橋梁被使用，例如有部分NFT價值0.5ETH或以上，卻因為NFT包含了一些賦能，需要連接網絡時才能夠使用，如通行證類型的NFT，因此本熊會選擇把有這種需要的NFT都放在里頭；第二個冷錢包則屬于純收藏用途。本熊會把一些十分貴重或絕不會轉售的NFT放入這個冷錢包中，并定期透過電話App或網絡上的鏈上資料，檢視里面的資產是否安好。如此一來，本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中，而重要卻又要連接網絡的NFT亦受到冷錢包的一定保障，這導致本熊雖然不時會遭遇撞見詐騙事件，但自己的虛擬資產都依然安好。

結論

被騙被盜絕非人們渴望遇到的事，但不幸遇到時冷靜面對，并調整心態，進行事后檢討，才是正確的處事態度。現在，Web3.0的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法，但隨著事件愈演愈烈，不少團隊都行動起來，希望可以進一步地確保鏈上人們的資產安全。

但愿未來，Web3.0的氛圍會變得健康且更加友善。

Tags：NFTETHOpenSeaENSCNFT價格tether幣行情opensea幣價格TokenSky

中幣