新手學習Web3：那些駭客「教懂」我的道理與解決辦法_PEN

前言

有天本熊在OpenSea上閑逛時，想起自己當初沒有買到藝術向項目RenArt的NFT后，便到他們的項目Discord中看看公售兩個月后的社群狀況，意外發現本來熱鬧的社群已經冷清起來，常見的活動都消失了，只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告，提及項目系統的開發進度，但其熱鬧度實在不如發售之前。

「大概會破發吧？」想著，打開了他們的OpenSea，果真如此，0.3ETH的發售價最終換來了0.09ETH的地板價，而且掛單量十分少，對于一直想要購入這個項目的本熊來說實在吸引。

現在RenArt在OpenSea上的情況。

于是，二話不說地入金，并在確認那些NFT已經被掛賣了數天后，終于把地板價附近的NFT都買起來，打算持有一張，其他則繼續掛賣以回本，同時到社群上進行驗證，想要成為當中等待項目繼續發展的一分子。

當時的交易紀錄

誰知到了晚上，本熊的Discord中突然出現一則信息，指自己的NFT被盜了，希望我可以把今天入手的NFT賣回給他。同時，他亦在RenArt群中指自己很無助，沒想到幾天沒留意狐貍錢包，因此錢包中的NFT早就被盜了也不知道，實在令人無奈。

Cardano開發商IOG：Project Catalyst Fund 10資助項目提交階段已結束:7月14日消息，區塊鏈Cardano開發公司Input Output Global（IOG）發推稱，旗下第10期社區孵化項目Project Catalyst Fund 10申請提交階段已結束，本次總計收到1577份項目申請，申請項目方作者可以在2023年7月17日之前對提交的內容進行編輯，之后 ADA 代幣持有者將進行投票選出可以獲得資助的項目（需在8月18日前在受支持錢包注冊才能投票）。

此外，Input Output稱，最終確定Project Catalyst Fund 10提案的截止日期是北京時間7月17日19:00，如果想注冊成為社區審閱者，需在7月17日前完成注冊。[2023/7/14 10:55:19]

后來，在計算了入金、購買及掛賣的GasFee后，本熊幾乎以買入價賣回給對方，并提醒對方必須要把貴重的NFT放在冷錢包中，以免再有損失。對方認同，也承諾會在未來購入冷錢包，事情總算告一段落。

然而，上述事件其實帶來了三個問題：

熱錢包的安全問題；持有者對于自己資產的重視程度；購買了被盜NFT的買家所受的傷害與責任問題。一、熱錢包的安全問題

雖然本熊不是駭客，但本熊知道對于駭客來說，要盜取如Metamask、TrustWallet、Phantom等熱錢包的資產其實可以很簡單，例如：

經由各類型設備上的程式漏洞，盜取以截圖方式紀錄的錢包助記詞，借此獲得用戶的資產。不少人認為自己的電話、電腦是屬于自己的私人物品，但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此，只要熱錢包所在的儀器出現程式漏洞，駭客就很容易乘虛而入，例如2022年4月Apple就傳出過iCloud出現嚴重的保安漏洞，駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞，從而盜走用戶資產；瀏覽器不時會出現程式漏洞，容易導致狐貍錢包受牽連。作為現時最多人使用的Chrome瀏覽器，不時就會冒出要用戶更新瀏覽器的通知，只因不管是開發程式的技術，還是駭客的駭入技巧都日新月異。就在2022年3月，駭客透過了Chrome的漏洞，使用遠端連線將惡意程式碼寫入到用戶的瀏覽器，以及藉由讀取或寫入超出緩沖記憶體，進而使瀏覽器崩潰，順便盜取狐貍錢包的資產；鏈上系統出現安全漏洞，導致用戶的熱錢包資產被盜。2022年8月，Solana鏈上出現，使駭客可以從鏈上的多個熱錢包中盜取用戶資金，事件中至少有七千多名用戶受影響；

美國總統候選人小羅伯特·肯尼迪稱其若當選將向SEC提名加密友好人士:5月30日消息，美國總統候選人小羅伯特·肯尼迪(Robert F. Kennedy Jr.)表示，他不希望證券交易委員會(SEC)出現反加密貨幣人士。他還抨擊證券監管機構保護銀行而不是美國人民。他說：“他們所做的事情模糊不清，不透明，也沒有給我們的制度帶來透明度。”

肯尼迪在接受采訪時表達了對比特幣的欽佩，同時批評了SEC對加密貨幣行業的監管方式。他表示，如果他當選總統，他打算向美國證券交易委員會提名加密貨幣友好人士。[2023/5/30 9:50:08]

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw經由駭入某些NFT項目的團隊成員Discord、項目Facebook、Twitter等，并經項目帳號發放信息，吸引群內成員或一般大眾點擊連結、確認授權，最終導致不少人遇害。十分著名的例子包括了愚人節當天，周杰倫價值超過50萬美元的無聊猿NFT就是因而被盜；

假裝是正常項目以欺騙人們鑄造NFT，利用這個方法將有惡意的智能合約與錢包連結，借此盜取錢包資產。自從Free-mint熱潮冒起后，這個情況就經常發生，騙徒會以「FreeMint」、「快速白名單」等方法吸引用戶加入他們的社群，并在公售前定期推出一些小活動讓大家參與，為的就是在項目公售當天吸引大家鑄造，然后盜取這些錢包中的資產；更多的不明原因。2022年5月26日，鏈新聞發了一篇文章，名為《沒有結局的故事，MetaMask用戶遇駭損失41顆以太幣，苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因，例如Google帳號被駭及下載了Google的擴充套件，但實際上駭客用了何種方法盜取錢包資產依然是一個謎，實在叫人無法放心。上述眾多情況都說明了重要資產放在熱錢包中，會有數之不盡的風險被盜，這亦令NFT圈子變得危機重重。面對著現實上的工作問題、Web2.0的社交問題、Web3.0的資訊爆炸，背后竟然還要顧及自己的虛擬錢包資產的資安問題，利用檢視智能合約、關閉Discord的私訊及加好友功能、對別人提供的連結及資訊提高警覺等，實在令人疲于奔命。

美SEC將對網絡安全、消費者隱私規則提案進行投票，或涉及加密貨幣:金色財經報道，美國證券交易委員會將對新的規則和變化進行投票，以加強對網絡安全、隱私和技術基礎設施的要求，官員們稱這可能包括加密貨幣。

美國證券交易委員會將投票決定是否提出修改意見，要求經紀人、交易商、投資公司、注冊投資顧問和轉讓代理人在受到數據泄露影響時告訴人們。

據美國證券交易委員會一位官員稱，這兩項提案不會包括對加密貨幣的特殊分割或分割。就信息系統與加密貨幣交互的程度而言，網絡安全變化將涵蓋這一點。 而美國證券交易委員會的一位官員表示，如果國家證券交易所交易加密證券，則該規則將適用。[2023/3/16 13:06:42]

二、持有者對于自己資產的重視程度

熊市來到，幣價從USD3,000以上跌至USD1,000也試過，不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處，都引發了一種名為「無眼睇」的人性現象，即「不想看了」的意思，更甚是「不如一槍打死我」。

這個現象最終導致的，就是人們會傾向回避所有會令自己憶起慘痛經歷的事物，當中就包括了NFT、虛擬貨幣等資產，而虛擬錢包，尤其是熱錢包中的資產就是代表物。

結果，這些持有者往往會因為太久沒有檢視自己的虛擬錢包，導致錢包內的資產被盜了很幾天后，才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生，包括值錢的NFT有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈，令本來就難以追查的資產下落變得更加無法被追蹤等。

NFT科幻卡牌游戲Parallel將于2月推出商店:1月20日消息，NFT科幻卡牌游戲Parallel將于2月推出商店，用戶可以花費PRIME、ETH和美元購買數字商品、NFT商品、實物商品與Coinbase NFT。該商店將支持漫畫、收藏品、入門套卡、paragon皮膚/表情NFT等[2023/1/20 11:22:44]

本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地，他們正是十分重視自己的資產，導致眼見的損失成為了心理陰影，從而換來了更大的損失。

事實上，當一個人蝕錢時，不想去面對算是人之常情，但被這種自己無法控制的事情影響心情，導致后來更糟糕的結果，一定是更差勁的結果。因此，本熊還是建議要不就把資產放在更加可靠的地方，如冷錢包，要不就勤加檢查資產的安全，包括定期利用Revoke、EtherscanTokenApproval等網站，將一些不必要的智能合約從自己的虛擬錢包中撤銷。

三、購買了被盜NFT的買家所受的傷害與責任問題

在OpenSea的海量交易和項目中閑逛時，如果看到了便宜且喜歡的NFT，想要購買或即時入手算是正常反應，誰知幾天后，以為撿到便宜的NFT突然出現了警告標示，這時候買家才發現到原來自己買到的NFT是贓物。

2022年1月，一名著名的外國攝影師MarcoGrassi.eth就曾經在OpenSea上以1.5ETH買入一張名為「alienfren#7085」的NFT，并在幾小時后將它以2.9ETH轉售。然而，沒想到購入不久后他就收到OpenSea的官方通知，指他購入的NFT是贓物，并凍結這個NFT的交易。

派盾：又一套利者通過購入BAYC以獲取其質押的APE并出售:12月6日，據派盾檢測數據顯示，套利者（0x8237開頭地址）從DYDX平臺利用閃電貸借出90枚ETH，并購入BAYC#1633，同時獲得了該NFT下質押的10,000枚ApeCoin；套利者后又將所得ApeCoin兌換為約32.68枚ETH，并將BAYC#1633以65ETH價格出售。

注：如果用戶將APE質押在NFT池中，一旦出售該NFT，用戶將同時失去質押的APE所有權。[2022/12/6 21:26:06]

MarcoGrassi.eth知道后感到不滿，于是在Twitter上尋求大家的支持和關注，讓事件被公諸于世。他認為，OpenSea的做法其實是在懲罰買到贓物的無辜買家，并且對原本的受害者毫無好處，甚至令受害人數從一人增至兩人。對他而言，他所花費的1.5ETH因而被凍結，而真正犯人則拿著他的資產逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在這個情況之下，又有誰可以保障到這些買家的權益？誰知道那個被低價出售的NFT，是因為被盜而被轉賣，還是持有者急需用錢而低價出售？在不知情的情況下買到贓物時，買家又到底有沒有責任？不要忘記，即使受害者舉報了也需要時間給平臺處理和認證，而在這段「等待」期間，對于網絡活動十分迅速的Web3.0世界來說，已經有機會令無數的人們變成受害者或「共犯」。

本熊想，應該沒有人希望自己在NFT世界中購物，最終卻踏進了俄羅斯輪盤的戲碼里吧？

諸多問題的解決方法：冷錢包

雖然現時并沒有一個解決方法可以十全十美地，讓自己的虛擬資產放置在安全的地方中，情況就跟人們把財產放到了銀行里，都有可能因為金融問題而變成負資產一樣。但是，我們可以從一大堆的問題中，找出最沒可能或最少可能發生的問題，使自己的資產可以在90％以上的安全地方待著。

因此，冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。

事實上，上文中不斷地被提及的「熱錢包」，指的是把資產放在「線上平臺」，即必須連接互聯網才能夠使用的虛擬錢包，而「冷錢包」則是相反，用戶可以把資產儲放到不需要連接網絡的實體裝置，如USB、卡片式錢包等，并確保這些資產被使用、轉移時，都必須經由自己手上的實體裝置進行認證，情況就跟人們會把資產存放在夾萬一樣。

由于駭客的行動十分頻繁，因此現在市面上亦愈來愈多專業團隊，加入了開發冷錢包的行列，目的就是讓NFT用家的資產能被保障。

本熊的SecuXNifty冷錢包，是跟NFT項目TeahouseHighTable合作的版本，與CoolWallet的卡式錢包一樣帥氣。

除了由法國制造的知名冷錢包品牌Ledger之外，還有被稱為十分適合項目方使用的Trezor、價格比較便宜并由美國制造的KeepKey，以及由臺灣制造的超帥氣卡片式冷錢包CoolWallet和以保護NFT為主的螢幕顯示式冷錢包SecuXNifty等，都開始因駭客問題，而得以在圈內急速發展起來。

雖然本熊無法100%指大家的資產放入冷錢包內就必定安全，但即使是今年8月時的Solana鏈事件，都沒有任何跡象指出被安放在冷錢包中的資產受到影響，可見冷錢包在保護用戶資產一事上，確實發揮著一定的作用。

再來分享本熊保護自己資產的方法：數個熱錢包，兩個冷錢包。

熱錢包主要是用來鑄造新項目或在OpenSea、X2Y2等二手平臺上進行交易時使用的。而之所以會有兩個冷錢包，因為第一個冷錢包會作為熱錢包與冷錢包的橋梁被使用，例如有部分NFT價值0.5ETH或以上，卻因為NFT包含了一些賦能，需要連接網絡時才能夠使用，如通行證類型的NFT，因此本熊會選擇把有這種需要的NFT都放在里頭；第二個冷錢包則屬于純收藏用途。本熊會把一些十分貴重或絕不會轉售的NFT放入這個冷錢包中，并定期透過電話App或網絡上的鏈上資料，檢視里面的資產是否安好。如此一來，本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中，而重要卻又要連接網絡的NFT亦受到冷錢包的一定保障，這導致本熊雖然不時會遭遇撞見詐騙事件，但自己的虛擬資產都依然安好。

結論

被騙被盜絕非人們渴望遇到的事，但不幸遇到時冷靜面對，并調整心態，進行事后檢討，才是正確的處事態度。現在，Web3.0的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法，但隨著事件愈演愈烈，不少團隊都行動起來，希望可以進一步地確保鏈上人們的資產安全。

但愿未來，Web3.0的氛圍會變得健康且更加友善。

Tags：NFTETHPENOPENsnft幣最新消息etha幣價格Compendium.Fiopendao幣最新價格

幣贏