ETH:新手學習Web3：那些駭客「教懂」我的道理與解決辦法_GETH幣

前言

有天本熊在OpenSea上閑逛時，想起自己當初沒有買到藝術向項目RenArt的NFT后，便到他們的項目Discord中看看公售兩個月后的社群狀況，意外發現本來熱鬧的社群已經冷清起來，常見的活動都消失了，只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告，提及項目系統的開發進度，但其熱鬧度實在不如發售之前。

「大概會破發吧？」想著，打開了他們的OpenSea，果真如此，0.3ETH的發售價最終換來了0.09ETH的地板價，而且掛單量十分少，對于一直想要購入這個項目的本熊來說實在吸引。

現在RenArt在OpenSea上的情況。

于是，二話不說地入金，并在確認那些NFT已經被掛賣了數天后，終于把地板價附近的NFT都買起來，打算持有一張，其他則繼續掛賣以回本，同時到社群上進行驗證，想要成為當中等待項目繼續發展的一分子。

當時的交易紀錄

誰知到了晚上，本熊的Discord中突然出現一則信息，指自己的NFT被盜了，希望我可以把今天入手的NFT賣回給他。同時，他亦在RenArt群中指自己很無助，沒想到幾天沒留意狐貍錢包，因此錢包中的NFT早就被盜了也不知道，實在令人無奈。

今日恐慌與貪婪指數為53，等級仍為貪婪:金色財經報道，今日恐慌與貪婪指數為53（昨日為53），貪婪程度持平，等級仍為貪婪。注：恐慌指數閾值為0-100，包含指標：波動性（25%）＋市場交易量（25%）＋社交媒體熱度（15%）＋市場調查（15%）＋比特幣在整個市場中的比例（10%）＋谷歌熱詞分析（10%）。[2023/4/25 14:25:31]

后來，在計算了入金、購買及掛賣的GasFee后，本熊幾乎以買入價賣回給對方，并提醒對方必須要把貴重的NFT放在冷錢包中，以免再有損失。對方認同，也承諾會在未來購入冷錢包，事情總算告一段落。

然而，上述事件其實帶來了三個問題：

熱錢包的安全問題；持有者對于自己資產的重視程度；購買了被盜NFT的買家所受的傷害與責任問題。一、熱錢包的安全問題

雖然本熊不是駭客，但本熊知道對于駭客來說，要盜取如Metamask、TrustWallet、Phantom等熱錢包的資產其實可以很簡單，例如：

經由各類型設備上的程式漏洞，盜取以截圖方式紀錄的錢包助記詞，借此獲得用戶的資產。不少人認為自己的電話、電腦是屬于自己的私人物品，但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此，只要熱錢包所在的儀器出現程式漏洞，駭客就很容易乘虛而入，例如2022年4月Apple就傳出過iCloud出現嚴重的保安漏洞，駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞，從而盜走用戶資產；瀏覽器不時會出現程式漏洞，容易導致狐貍錢包受牽連。作為現時最多人使用的Chrome瀏覽器，不時就會冒出要用戶更新瀏覽器的通知，只因不管是開發程式的技術，還是駭客的駭入技巧都日新月異。就在2022年3月，駭客透過了Chrome的漏洞，使用遠端連線將惡意程式碼寫入到用戶的瀏覽器，以及藉由讀取或寫入超出緩沖記憶體，進而使瀏覽器崩潰，順便盜取狐貍錢包的資產；鏈上系統出現安全漏洞，導致用戶的熱錢包資產被盜。2022年8月，Solana鏈上出現，使駭客可以從鏈上的多個熱錢包中盜取用戶資金，事件中至少有七千多名用戶受影響；

Test in Prod推出Optimism上新客戶端OP Erigon初始版本:金色財經報道，Test in Prod 推出 Optimism 上新客戶端 OP Erigon，這是以太坊 Erigon 客戶端軟件的改編版本，OP Erigon 的初始版本可在 Optimistic Goerli 測試網上訪問。[2023/4/22 14:19:24]

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw經由駭入某些NFT項目的團隊成員Discord、項目Facebook、Twitter等，并經項目帳號發放信息，吸引群內成員或一般大眾點擊連結、確認授權，最終導致不少人遇害。十分著名的例子包括了愚人節當天，周杰倫價值超過50萬美元的無聊猿NFT就是因而被盜；

假裝是正常項目以欺騙人們鑄造NFT，利用這個方法將有惡意的智能合約與錢包連結，借此盜取錢包資產。自從Free-mint熱潮冒起后，這個情況就經常發生，騙徒會以「FreeMint」、「快速白名單」等方法吸引用戶加入他們的社群，并在公售前定期推出一些小活動讓大家參與，為的就是在項目公售當天吸引大家鑄造，然后盜取這些錢包中的資產；更多的不明原因。2022年5月26日，鏈新聞發了一篇文章，名為《沒有結局的故事，MetaMask用戶遇駭損失41顆以太幣，苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因，例如Google帳號被駭及下載了Google的擴充套件，但實際上駭客用了何種方法盜取錢包資產依然是一個謎，實在叫人無法放心。上述眾多情況都說明了重要資產放在熱錢包中，會有數之不盡的風險被盜，這亦令NFT圈子變得危機重重。面對著現實上的工作問題、Web2.0的社交問題、Web3.0的資訊爆炸，背后竟然還要顧及自己的虛擬錢包資產的資安問題，利用檢視智能合約、關閉Discord的私訊及加好友功能、對別人提供的連結及資訊提高警覺等，實在令人疲于奔命。

數據：多個Layer 1網絡日交易費收入出現下跌:金色財經報道，據Crypto Fees數據顯示，多個Layer 1網絡日交易費收入出現下跌，Fantom 在 1 月份產生的每日交易費用收入為 95,600美元，現在僅產生 3,280 美元。同期，Avalanche 網絡費用收入從 323,400 美元降至 11,500 美元，Solana 的費用收入從 198,600 美元降至 26,700 美元。 Polygon 的PoS 區塊鏈最近運行良好，但也遭遇低迷，每日費用收入為 28,500 美元，而 2022 年初則高達 622,000 美元。即使是收費收入領先的智能合約網絡，今年的活動也急劇下降。以太坊的手續費收入目前為 160 萬美元，低于 11 個月前的逾 5 億美元，而幣安智能鏈的手續費在今年早些時候超過 400 萬美元后下滑至 575,000 美元。[2022/12/1 21:13:57]

二、持有者對于自己資產的重視程度

熊市來到，幣價從USD3,000以上跌至USD1,000也試過，不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處，都引發了一種名為「無眼睇」的人性現象，即「不想看了」的意思，更甚是「不如一槍打死我」。

這個現象最終導致的，就是人們會傾向回避所有會令自己憶起慘痛經歷的事物，當中就包括了NFT、虛擬貨幣等資產，而虛擬錢包，尤其是熱錢包中的資產就是代表物。

結果，這些持有者往往會因為太久沒有檢視自己的虛擬錢包，導致錢包內的資產被盜了很幾天后，才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生，包括值錢的NFT有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈，令本來就難以追查的資產下落變得更加無法被追蹤等。

以太坊網絡Gas費短時沖高至647gwei:11月9日消息，據 Etherscan 數據顯示，受極端行情影響，以太坊網絡 Gas 費短時沖高至 647gwei。[2022/11/9 12:35:07]

本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地，他們正是十分重視自己的資產，導致眼見的損失成為了心理陰影，從而換來了更大的損失。

事實上，當一個人蝕錢時，不想去面對算是人之常情，但被這種自己無法控制的事情影響心情，導致后來更糟糕的結果，一定是更差勁的結果。因此，本熊還是建議要不就把資產放在更加可靠的地方，如冷錢包，要不就勤加檢查資產的安全，包括定期利用Revoke、EtherscanTokenApproval等網站，將一些不必要的智能合約從自己的虛擬錢包中撤銷。

三、購買了被盜NFT的買家所受的傷害與責任問題

在OpenSea的海量交易和項目中閑逛時，如果看到了便宜且喜歡的NFT，想要購買或即時入手算是正常反應，誰知幾天后，以為撿到便宜的NFT突然出現了警告標示，這時候買家才發現到原來自己買到的NFT是贓物。

2022年1月，一名著名的外國攝影師MarcoGrassi.eth就曾經在OpenSea上以1.5ETH買入一張名為「alienfren#7085」的NFT，并在幾小時后將它以2.9ETH轉售。然而，沒想到購入不久后他就收到OpenSea的官方通知，指他購入的NFT是贓物，并凍結這個NFT的交易。

Blackhawk Network與Aurus合作:金色財經報道，全球預付卡公司黑鷹網絡（Blackhawk Network）正在與 Aurus 建立合作關系。Aurus提供解決支付生態系統的全球解決方案，而Blackhawk領先的禮品卡和支付處理能力將有助于推動零售支付的持續增長。提高購物者的忠誠度已成為零售商和品牌數字支付戰略的重要組成部分。Blackhawk Network的研究表明，提供數字支付（如數字錢包和替代支付方式）的便捷途徑可以將購物者退貨的可能性提高63%。[2022/7/30 2:47:20]

MarcoGrassi.eth知道后感到不滿，于是在Twitter上尋求大家的支持和關注，讓事件被公諸于世。他認為，OpenSea的做法其實是在懲罰買到贓物的無辜買家，并且對原本的受害者毫無好處，甚至令受害人數從一人增至兩人。對他而言，他所花費的1.5ETH因而被凍結，而真正犯人則拿著他的資產逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在這個情況之下，又有誰可以保障到這些買家的權益？誰知道那個被低價出售的NFT，是因為被盜而被轉賣，還是持有者急需用錢而低價出售？在不知情的情況下買到贓物時，買家又到底有沒有責任？不要忘記，即使受害者舉報了也需要時間給平臺處理和認證，而在這段「等待」期間，對于網絡活動十分迅速的Web3.0世界來說，已經有機會令無數的人們變成受害者或「共犯」。

本熊想，應該沒有人希望自己在NFT世界中購物，最終卻踏進了俄羅斯輪盤的戲碼里吧？

諸多問題的解決方法：冷錢包

雖然現時并沒有一個解決方法可以十全十美地，讓自己的虛擬資產放置在安全的地方中，情況就跟人們把財產放到了銀行里，都有可能因為金融問題而變成負資產一樣。但是，我們可以從一大堆的問題中，找出最沒可能或最少可能發生的問題，使自己的資產可以在90％以上的安全地方待著。

因此，冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。

事實上，上文中不斷地被提及的「熱錢包」，指的是把資產放在「線上平臺」，即必須連接互聯網才能夠使用的虛擬錢包，而「冷錢包」則是相反，用戶可以把資產儲放到不需要連接網絡的實體裝置，如USB、卡片式錢包等，并確保這些資產被使用、轉移時，都必須經由自己手上的實體裝置進行認證，情況就跟人們會把資產存放在夾萬一樣。

由于駭客的行動十分頻繁，因此現在市面上亦愈來愈多專業團隊，加入了開發冷錢包的行列，目的就是讓NFT用家的資產能被保障。

本熊的SecuXNifty冷錢包，是跟NFT項目TeahouseHighTable合作的版本，與CoolWallet的卡式錢包一樣帥氣。

除了由法國制造的知名冷錢包品牌Ledger之外，還有被稱為十分適合項目方使用的Trezor、價格比較便宜并由美國制造的KeepKey，以及由臺灣制造的超帥氣卡片式冷錢包CoolWallet和以保護NFT為主的螢幕顯示式冷錢包SecuXNifty等，都開始因駭客問題，而得以在圈內急速發展起來。

雖然本熊無法100%指大家的資產放入冷錢包內就必定安全，但即使是今年8月時的Solana鏈事件，都沒有任何跡象指出被安放在冷錢包中的資產受到影響，可見冷錢包在保護用戶資產一事上，確實發揮著一定的作用。

再來分享本熊保護自己資產的方法：數個熱錢包，兩個冷錢包。

熱錢包主要是用來鑄造新項目或在OpenSea、X2Y2等二手平臺上進行交易時使用的。而之所以會有兩個冷錢包，因為第一個冷錢包會作為熱錢包與冷錢包的橋梁被使用，例如有部分NFT價值0.5ETH或以上，卻因為NFT包含了一些賦能，需要連接網絡時才能夠使用，如通行證類型的NFT，因此本熊會選擇把有這種需要的NFT都放在里頭；第二個冷錢包則屬于純收藏用途。本熊會把一些十分貴重或絕不會轉售的NFT放入這個冷錢包中，并定期透過電話App或網絡上的鏈上資料，檢視里面的資產是否安好。如此一來，本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中，而重要卻又要連接網絡的NFT亦受到冷錢包的一定保障，這導致本熊雖然不時會遭遇撞見詐騙事件，但自己的虛擬資產都依然安好。

結論

被騙被盜絕非人們渴望遇到的事，但不幸遇到時冷靜面對，并調整心態，進行事后檢討，才是正確的處事態度。現在，Web3.0的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法，但隨著事件愈演愈烈，不少團隊都行動起來，希望可以進一步地確保鏈上人們的資產安全。

但愿未來，Web3.0的氛圍會變得健康且更加友善。

Tags：NFTETHOpenSeaSEANftimeGETH幣BOpenSeaSEAN

FTT