BIT:新手学习Web3:那些骇客「教懂」我的道理与解决办法_TRU

前言

有天本熊在OpenSea上闲逛时,想起自己当初没有买到艺术向项目RenArt的NFT后,便到他们的项目Discord中看看公售两个月后的社群状况,意外发现本来热闹的社群已经冷清起来,常见的活动都消失了,只剩下持有者们不时会留下的「GM」、「GN」。虽然项目方依然有发公告,提及项目系统的开发进度,但其热闹度实在不如发售之前。

「大概会破发吧?」想着,打开了他们的OpenSea,果真如此,0.3ETH的发售价最终换来了0.09ETH的地板价,而且挂单量十分少,对于一直想要购入这个项目的本熊来说实在吸引。

现在RenArt在OpenSea上的情况。

于是,二话不说地入金,并在确认那些NFT已经被挂卖了数天后,终于把地板价附近的NFT都买起来,打算持有一张,其他则继续挂卖以回本,同时到社群上进行验证,想要成为当中等待项目继续发展的一分子。

当时的交易纪录

谁知到了晚上,本熊的Discord中突然出现一则信息,指自己的NFT被盗了,希望我可以把今天入手的NFT卖回给他。同时,他亦在RenArt群中指自己很无助,没想到几天没留意狐狸钱包,因此钱包中的NFT早就被盗了也不知道,实在令人无奈。

后来,在计算了入金、购买及挂卖的GasFee后,本熊几乎以买入价卖回给对方,并提醒对方必须要把贵重的NFT放在冷钱包中,以免再有损失。对方认同,也承诺会在未来购入冷钱包,事情总算告一段落。

然而,上述事件其实带来了三个问题:

热钱包的安全问题;持有者对于自己资产的重视程度;购买了被盗NFT的买家所受的伤害与责任问题。一、热钱包的安全问题

虽然本熊不是骇客,但本熊知道对于骇客来说,要盗取如Metamask、TrustWallet、Phantom等热钱包的资产其实可以很简单,例如:

经由各类型设备上的程式漏洞,盗取以截图方式纪录的钱包助记词,借此获得用户的资产。不少人认为自己的电话、电脑是属于自己的私人物品,但在骇客的眼中所有会接上互联网的仪器都是他们可检阅的物品。因此,只要热钱包所在的仪器出现程式漏洞,骇客就很容易乘虚而入,例如2022年4月Apple就传出过iCloud出现严重的保安漏洞,骇客因而获得不少以截图方式纪录下来的钱包助记词,从而盗走用户资产;浏览器不时会出现程式漏洞,容易导致狐狸钱包受牵连。作为现时最多人使用的Chrome浏览器,不时就会冒出要用户更新浏览器的通知,只因不管是开发程式的技术,还是骇客的骇入技巧都日新月异。就在2022年3月,骇客透过了Chrome的漏洞,使用远端连线将恶意程式码写入到用户的浏览器,以及藉由读取或写入超出缓冲记忆体,进而使浏览器崩溃,顺便盗取狐狸钱包的资产;链上系统出现安全漏洞,导致用户的热钱包资产被盗。2022年8月,Solana链上出现,使骇客可以从链上的多个热钱包中盗取用户资金,事件中至少有七千多名用户受影响;

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw经由骇入某些NFT项目的团队成员Discord、项目Facebook、Twitter等,并经项目帐号发放信息,吸引群内成员或一般大众点击连结、确认授权,最终导致不少人遇害。十分著名的例子包括了愚人节当天,周杰伦价值超过50万美元的无聊猿NFT就是因而被盗;

假装是正常项目以人们铸造NFT,利用这个方法将有恶意的智能合约与钱包连结,借此盗取钱包资产。自从Free-mint热潮冒起后,这个情况就经常发生,徒会以「FreeMint」、「快速白名单」等方法吸引用户加入他们的社群,并在公售前定期推出一些小活动让大家参与,为的就是在项目公售当天吸引大家铸造,然后盗取这些钱包中的资产;更多的不明原因。2022年5月26日,链新闻发了一篇文章,名为《没有结局的故事,MetaMask用户遇骇损失41颗以太币,苦思仍不知被骇原因》。文章指出了两个令苦主被骇的原因,例如Google帐号被骇及下载了Google的扩充套件,但实际上骇客用了何种方法盗取钱包资产依然是一个谜,实在叫人无法放心。上述众多情况都说明了重要资产放在热钱包中,会有数之不尽的风险被盗,这亦令NFT圈子变得危机重重。面对着现实上的工作问题、Web2.0的社交问题、Web3.0的资讯爆炸,背后竟然还要顾及自己的虚拟钱包资产的资安问题,利用检视智能合约、关闭Discord的私讯及加好友功能、对别人提供的连结及资讯提高警觉等,实在令人疲于奔命。

二、持有者对于自己资产的重视程度

熊市来到,币价从USD3,000以上跌至USD1,000也试过,不少在牛市加入的新人眼见自己购入的虚拟货币从高处跌至低处,都引发了一种名为「无眼睇」的人性现象,即「不想看了」的意思,更甚是「不如一打死我」。

这个现象最终导致的,就是人们会倾向回避所有会令自己忆起惨痛经历的事物,当中就包括了NFT、虚拟货币等资产,而虚拟钱包,尤其是热钱包中的资产就是代表物。

结果,这些持有者往往会因为太久没有检视自己的虚拟钱包,导致钱包内的资产被盗了很几天后,才发现到自己被盗了的事实。这件事最终会引致一连串的问题发生,包括值钱的NFT有可能已在期间被多次转卖、被盗走的资金已被骇客经由在多个钱包中转移或移出资产本来所在的链,令本来就难以追查的资产下落变得更加无法被追踪等。

本熊没有认为这些受害者是因为不重视自己资产而出事的。相反地,他们正是十分重视自己的资产,导致眼见的损失成为了心理阴影,从而换来了更大的损失。

事实上,当一个人蚀钱时,不想去面对算是人之常情,但被这种自己无法控制的事情影响心情,导致后来更糟糕的结果,一定是更差劲的结果。因此,本熊还是建议要不就把资产放在更加可靠的地方,如冷钱包,要不就勤加检查资产的安全,包括定期利用Revoke、EtherscanTokenApproval等网站,将一些不必要的智能合约从自己的虚拟钱包中撤销。

三、购买了被盗NFT的买家所受的伤害与责任问题

在OpenSea的海量交易和项目中闲逛时,如果看到了便宜且喜欢的NFT,想要购买或即时入手算是正常反应,谁知几天后,以为捡到便宜的NFT突然出现了警告标示,这时候买家才发现到原来自己买到的NFT是赃物。

2022年1月,一名著名的外国摄影师MarcoGrassi.eth就曾经在OpenSea上以1.5ETH买入一张名为「alienfren#7085」的NFT,并在几小时后将它以2.9ETH转售。然而,没想到购入不久后他就收到OpenSea的官方通知,指他购入的NFT是赃物,并冻结这个NFT的交易。

MarcoGrassi.eth知道后感到不满,于是在Twitter上寻求大家的支持和关注,让事件被公诸于世。他认为,OpenSea的做法其实是在惩罚买到赃物的无辜买家,并且对原本的受害者毫无好处,甚至令受害人数从一人增至两人。对他而言,他所花费的1.5ETH因而被冻结,而真正犯人则拿着他的资产逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在这个情况之下,又有谁可以保障到这些买家的权益?谁知道那个被低价出售的NFT,是因为被盗而被转卖,还是持有者急需用钱而低价出售?在不知情的情况下买到赃物时,买家又到底有没有责任?不要忘记,即使受害者举报了也需要时间给平台处理和认证,而在这段「等待」期间,对于网络活动十分迅速的Web3.0世界来说,已经有机会令无数的人们变成受害者或「共犯」。

本熊想,应该没有人希望自己在NFT世界中购物,最终却踏进了俄罗斯轮盘的戏码里吧?

诸多问题的解决方法:冷钱包

虽然现时并没有一个解决方法可以十全十美地,让自己的虚拟资产放置在安全的地方中,情况就跟人们把财产放到了银行里,都有可能因为金融问题而变成负资产一样。但是,我们可以从一大堆的问题中,找出最没可能或最少可能发生的问题,使自己的资产可以在90%以上的安全地方待着。

因此,冷钱包成为了不少人会选择的、安放虚拟资产的首选目标。

事实上,上文中不断地被提及的「热钱包」,指的是把资产放在「线上平台」,即必须连接互联网才能够使用的虚拟钱包,而「冷钱包」则是相反,用户可以把资产储放到不需要连接网络的实体装置,如USB、卡片式钱包等,并确保这些资产被使用、转移时,都必须经由自己手上的实体装置进行认证,情况就跟人们会把资产存放在夹万一样。

由于骇客的行动十分频繁,因此现在市面上亦愈来愈多专业团队,加入了开发冷钱包的行列,目的就是让NFT用家的资产能被保障。

本熊的SecuXNifty冷钱包,是跟NFT项目TeahouseHighTable合作的版本,与CoolWallet的卡式钱包一样帅气。

除了由法国制造的知名冷钱包品牌Ledger之外,还有被称为十分适合项目方使用的Trezor、价格比较便宜并由美国制造的KeepKey,以及由制造的超帅气卡片式冷钱包CoolWallet和以保护NFT为主的萤幕显示式冷钱包SecuXNifty等,都开始因骇客问题,而得以在圈内急速发展起来。

虽然本熊无法100%指大家的资产放入冷钱包内就必定安全,但即使是今年8月时的Solana链事件,都没有任何迹象指出被安放在冷钱包中的资产受到影响,可见冷钱包在保护用户资产一事上,确实发挥着一定的作用。

再来分享本熊保护自己资产的方法:数个热钱包,两个冷钱包。

热钱包主要是用来铸造新项目或在OpenSea、X2Y2等二手平台上进行交易时使用的。而之所以会有两个冷钱包,因为第一个冷钱包会作为热钱包与冷钱包的桥梁被使用,例如有部分NFT价值0.5ETH或以上,却因为NFT包含了一些赋能,需要连接网络时才能够使用,如通行证类型的NFT,因此本熊会选择把有这种需要的NFT都放在里头;第二个冷钱包则属于纯收藏用途。本熊会把一些十分贵重或绝不会转售的NFT放入这个冷钱包中,并定期透过电话App或网络上的链上资料,检视里面的资产是否安好。如此一来,本熊的珍贵资产就被安放在长期不会连接网络的冷钱包中,而重要却又要连接网络的NFT亦受到冷钱包的一定保障,这导致本熊虽然不时会遭遇撞见事件,但自己的虚拟资产都依然安好。

结论

被被盗绝非人们渴望遇到的事,但不幸遇到时冷静面对,并调整心态,进行事后检讨,才是正确的处事态度。现在,Web3.0的圈子中虽然未有一套可以完整地打击犯罪集团和骇客的方法,但随着事件愈演愈烈,不少团队都行动起来,希望可以进一步地确保链上人们的资产安全。

但愿未来,Web3.0的氛围会变得健康且更加友善。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-3:77ms