NFT:新手学习Web3：那些骇客「教懂」我的道理与解决办法

前言

有天本熊在OpenSea上闲逛时，想起自己当初没有买到艺术向项目RenArt的NFT后，便到他们的项目Discord中看看公售两个月后的社群状况，意外发现本来热闹的社群已经冷清起来，常见的活动都消失了，只剩下持有者们不时会留下的「GM」、「GN」。虽然项目方依然有发公告，提及项目系统的开发进度，但其热闹度实在不如发售之前。

「大概会破发吧？」想着，打开了他们的OpenSea，果真如此，0.3ETH的发售价最终换来了0.09ETH的地板价，而且挂单量十分少，对于一直想要购入这个项目的本熊来说实在吸引。

现在RenArt在OpenSea上的情况。

于是，二话不说地入金，并在确认那些NFT已经被挂卖了数天后，终于把地板价附近的NFT都买起来，打算持有一张，其他则继续挂卖以回本，同时到社群上进行验证，想要成为当中等待项目继续发展的一分子。

前FTX首席运营官Constance Wang加入Sino Global Capital:7月19日消息，知情人士透露，FTX前首席运营官Constance Wang已加入加密风险投资公司Sino Global Capital。Wang曾担任FTX的首席运营官和FTXDigital Markets的联席首席执行官，FTX Digital Markets是破产的加密货币交易所FTX在巴哈马的附属公司。

根据Linkedin的个人资料，Wang的职责包括领导交易所的全球业务扩张、监督代币上市以及公共关系和营销。Sino Global Capital由Matthew Graham于2015年创立，在FTX倒闭后透露，Sino Global Capital是该交易所的早期投资者。一年前，这家风险投资公司推出了一只2亿美元的基金，FTX作为主要投资者。法庭文件显示，今年1月，法庭指定的负责FTX破产程序的管理团队寻求许可传唤Constance Wang和其他前公司高管。Constance Wang并未因FTX或Alameda的崩溃而被指控有不当行为。[2023/7/19 11:03:39]

当时的交易纪录

谁知到了晚上，本熊的Discord中突然出现一则信息，指自己的NFT被盗了，希望我可以把今天入手的NFT卖回给他。同时，他亦在RenArt群中指自己很无助，没想到几天没留意狐狸钱包，因此钱包中的NFT早就被盗了也不知道，实在令人无奈。

后来，在计算了入金、购买及挂卖的GasFee后，本熊几乎以买入价卖回给对方，并提醒对方必须要把贵重的NFT放在冷钱包中，以免再有损失。对方认同，也承诺会在未来购入冷钱包，事情总算告一段落。

BIS：货币和资产的代币化具有巨大潜力:6月20日消息，国际清算银行（BIS）在发布2023年度经济报告特殊章节中指出，货币和资产的代币化具有巨大的潜力，但迄今为止，这些举措都是在孤岛中进行的，无法获得中央银行的资金及其提供的信任基础。一种新型的金融市场基础设施统一分类账可以通过在一个可编程平台上结合中央银行货币、代币化存款和代币化资产来获得代币化的全部好处。多个分类账可能共存，通过应用程序编程接口相互连接，以确保互操作性并促进金融包容性和公平竞争环境。[2023/6/20 21:49:53]

然而，上述事件其实带来了三个问题：

热钱包的安全问题；持有者对于自己资产的重视程度；购买了被盗NFT的买家所受的伤害与责任问题。一、热钱包的安全问题

虽然本熊不是骇客，但本熊知道对于骇客来说，要盗取如Metamask、TrustWallet、Phantom等热钱包的资产其实可以很简单，例如：

经由各类型设备上的程式漏洞，盗取以截图方式纪录的钱包助记词，借此获得用户的资产。不少人认为自己的电话、电脑是属于自己的私人物品，但在骇客的眼中所有会接上互联网的仪器都是他们可检阅的物品。因此，只要热钱包所在的仪器出现程式漏洞，骇客就很容易乘虚而入，例如2022年4月Apple就传出过iCloud出现严重的保安漏洞，骇客因而获得不少以截图方式纪录下来的钱包助记词，从而盗走用户资产；浏览器不时会出现程式漏洞，容易导致狐狸钱包受牵连。作为现时最多人使用的Chrome浏览器，不时就会冒出要用户更新浏览器的通知，只因不管是开发程式的技术，还是骇客的骇入技巧都日新月异。就在2022年3月，骇客透过了Chrome的漏洞，使用远端连线将恶意程式码写入到用户的浏览器，以及藉由读取或写入超出缓冲记忆体，进而使浏览器崩溃，顺便盗取狐狸钱包的资产；链上系统出现安全漏洞，导致用户的热钱包资产被盗。2022年8月，Solana链上出现，使骇客可以从链上的多个热钱包中盗取用户资金，事件中至少有七千多名用户受影响；

香港立法会议委员邱达根：法例更新、行业监管等是香港有序合规投入Web3进程的下一步工作:4月12日消息，在2023 香港 Web3 嘉年华上，香港特别行政区立法会议委员邱达根在发表主旨演讲时表示，香港在 Web3 方面的举措是一个非常重要的时刻，Web3 行业的技术与政策需要齐头并进，以此建立一个更好的经济系统。过去几个月，香港政府从宣布支持虚拟资产、到对稳定币咨询工作的完成，行动是非常快的。另外今年 6 月份将正式引入虚拟资产服务供应商发牌制度，目前已经发放了两个牌照。关于香港如何有序、合规地投入 Web3 的发展进程，下一步工作将是法例更新、行业监管、投资者保护和企业管治。

另外，“十四五规划纲要”确立香港作为国际创新科技中心，要素包括货币国际影响力、科技自立自强和人才引领驱动，香港将配合国家发展策略，方向一为：联通数字人民币，发展数码港元和虚拟资产服务；方向二为：提升科研转化，深入上游科技研发，分布式账本技术的创新应用；方向三为推出人才服务计划，多方面引入科技人才等。[2023/4/12 13:58:30]

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw经由骇入某些NFT项目的团队成员Discord、项目Facebook、Twitter等，并经项目帐号发放信息，吸引群内成员或一般大众点击连结、确认授权，最终导致不少人遇害。十分著名的例子包括了愚人节当天，周杰伦价值超过50万美元的无聊猿NFT就是因而被盗；

马来西亚Web3信息技术公司MASVERSE宣布开始天使轮融资:2月21日消息，总部位于马来西亚的信息技术公司MASVERSE在种子轮融资中获得了1.5 亿美元的估值，并得到了新加坡区块链风险投资公司Stratified Capital和马来西亚科技公司MEP Enviro的资金支持。此外，该公司即日起将进行天使轮融资。

据了解，MASVERSE专注于开发 WEB 3.0 区块链生态，并创建了马来西亚首个一站式 WEB 3.0 生态系统，该生态系统由 12 个独特的基础设施的支柱组成，为数据交换提供安全可靠的网络。 MASVERSE 在成立仅 6 个月的时间里，就已经推出了 NFT 市场、Lab 和 MGG DAO，并计划在 2023 年加大开发力度，采用自有链和APP，并扩展其数据库。[2023/2/21 12:19:32]

假装是正常项目以人们铸造NFT，利用这个方法将有恶意的智能合约与钱包连结，借此盗取钱包资产。自从Free-mint热潮冒起后，这个情况就经常发生，徒会以「FreeMint」、「快速白名单」等方法吸引用户加入他们的社群，并在公售前定期推出一些小活动让大家参与，为的就是在项目公售当天吸引大家铸造，然后盗取这些钱包中的资产；更多的不明原因。2022年5月26日，链新闻发了一篇文章，名为《没有结局的故事，MetaMask用户遇骇损失41颗以太币，苦思仍不知被骇原因》。文章指出了两个令苦主被骇的原因，例如Google帐号被骇及下载了Google的扩充套件，但实际上骇客用了何种方法盗取钱包资产依然是一个谜，实在叫人无法放心。上述众多情况都说明了重要资产放在热钱包中，会有数之不尽的风险被盗，这亦令NFT圈子变得危机重重。面对着现实上的工作问题、Web2.0的社交问题、Web3.0的资讯爆炸，背后竟然还要顾及自己的虚拟钱包资产的资安问题，利用检视智能合约、关闭Discord的私讯及加好友功能、对别人提供的连结及资讯提高警觉等，实在令人疲于奔命。

消息人士：欧盟将在俄罗斯举行独立投票后禁止其进行加密支付:金色财经报道，由于俄罗斯对占领的乌克兰地区举行的独立投票，欧盟将收紧对俄罗斯人在集团内的加密货币投资限制。消息人士表示，以前持有的10,000欧元（9,600美元）的加密货币上限将被取消，这可能意味着俄罗斯人将无法在欧盟加密货币钱包中持有任何资产。

此前4月，欧盟宣布，它将把俄罗斯对欧洲加密货币钱包的付款限制在1万欧元，因为它试图阻止数字资产被用来绕过对大额银行转账的限制。现在新的措施意味着这一数字可能降至零。（coindesk）[2022/9/29 6:00:04]

二、持有者对于自己资产的重视程度

熊市来到，币价从USD3,000以上跌至USD1,000也试过，不少在牛市加入的新人眼见自己购入的虚拟货币从高处跌至低处，都引发了一种名为「无眼睇」的人性现象，即「不想看了」的意思，更甚是「不如一打死我」。

这个现象最终导致的，就是人们会倾向回避所有会令自己忆起惨痛经历的事物，当中就包括了NFT、虚拟货币等资产，而虚拟钱包，尤其是热钱包中的资产就是代表物。

结果，这些持有者往往会因为太久没有检视自己的虚拟钱包，导致钱包内的资产被盗了很几天后，才发现到自己被盗了的事实。这件事最终会引致一连串的问题发生，包括值钱的NFT有可能已在期间被多次转卖、被盗走的资金已被骇客经由在多个钱包中转移或移出资产本来所在的链，令本来就难以追查的资产下落变得更加无法被追踪等。

本熊没有认为这些受害者是因为不重视自己资产而出事的。相反地，他们正是十分重视自己的资产，导致眼见的损失成为了心理阴影，从而换来了更大的损失。

事实上，当一个人蚀钱时，不想去面对算是人之常情，但被这种自己无法控制的事情影响心情，导致后来更糟糕的结果，一定是更差劲的结果。因此，本熊还是建议要不就把资产放在更加可靠的地方，如冷钱包，要不就勤加检查资产的安全，包括定期利用Revoke、EtherscanTokenApproval等网站，将一些不必要的智能合约从自己的虚拟钱包中撤销。

三、购买了被盗NFT的买家所受的伤害与责任问题

在OpenSea的海量交易和项目中闲逛时，如果看到了便宜且喜欢的NFT，想要购买或即时入手算是正常反应，谁知几天后，以为捡到便宜的NFT突然出现了警告标示，这时候买家才发现到原来自己买到的NFT是赃物。

2022年1月，一名著名的外国摄影师MarcoGrassi.eth就曾经在OpenSea上以1.5ETH买入一张名为「alienfren#7085」的NFT，并在几小时后将它以2.9ETH转售。然而，没想到购入不久后他就收到OpenSea的官方通知，指他购入的NFT是赃物，并冻结这个NFT的交易。

MarcoGrassi.eth知道后感到不满，于是在Twitter上寻求大家的支持和关注，让事件被公诸于世。他认为，OpenSea的做法其实是在惩罚买到赃物的无辜买家，并且对原本的受害者毫无好处，甚至令受害人数从一人增至两人。对他而言，他所花费的1.5ETH因而被冻结，而真正犯人则拿着他的资产逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在这个情况之下，又有谁可以保障到这些买家的权益？谁知道那个被低价出售的NFT，是因为被盗而被转卖，还是持有者急需用钱而低价出售？在不知情的情况下买到赃物时，买家又到底有没有责任？不要忘记，即使受害者举报了也需要时间给平台处理和认证，而在这段「等待」期间，对于网络活动十分迅速的Web3.0世界来说，已经有机会令无数的人们变成受害者或「共犯」。

本熊想，应该没有人希望自己在NFT世界中购物，最终却踏进了俄罗斯轮盘的戏码里吧？

诸多问题的解决方法：冷钱包

虽然现时并没有一个解决方法可以十全十美地，让自己的虚拟资产放置在安全的地方中，情况就跟人们把财产放到了银行里，都有可能因为金融问题而变成负资产一样。但是，我们可以从一大堆的问题中，找出最没可能或最少可能发生的问题，使自己的资产可以在90％以上的安全地方待着。

因此，冷钱包成为了不少人会选择的、安放虚拟资产的首选目标。

事实上，上文中不断地被提及的「热钱包」，指的是把资产放在「线上平台」，即必须连接互联网才能够使用的虚拟钱包，而「冷钱包」则是相反，用户可以把资产储放到不需要连接网络的实体装置，如USB、卡片式钱包等，并确保这些资产被使用、转移时，都必须经由自己手上的实体装置进行认证，情况就跟人们会把资产存放在夹万一样。

由于骇客的行动十分频繁，因此现在市面上亦愈来愈多专业团队，加入了开发冷钱包的行列，目的就是让NFT用家的资产能被保障。

本熊的SecuXNifty冷钱包，是跟NFT项目TeahouseHighTable合作的版本，与CoolWallet的卡式钱包一样帅气。

除了由法国制造的知名冷钱包品牌Ledger之外，还有被称为十分适合项目方使用的Trezor、价格比较便宜并由美国制造的KeepKey，以及由制造的超帅气卡片式冷钱包CoolWallet和以保护NFT为主的萤幕显示式冷钱包SecuXNifty等，都开始因骇客问题，而得以在圈内急速发展起来。

虽然本熊无法100%指大家的资产放入冷钱包内就必定安全，但即使是今年8月时的Solana链事件，都没有任何迹象指出被安放在冷钱包中的资产受到影响，可见冷钱包在保护用户资产一事上，确实发挥着一定的作用。

再来分享本熊保护自己资产的方法：数个热钱包，两个冷钱包。

热钱包主要是用来铸造新项目或在OpenSea、X2Y2等二手平台上进行交易时使用的。而之所以会有两个冷钱包，因为第一个冷钱包会作为热钱包与冷钱包的桥梁被使用，例如有部分NFT价值0.5ETH或以上，却因为NFT包含了一些赋能，需要连接网络时才能够使用，如通行证类型的NFT，因此本熊会选择把有这种需要的NFT都放在里头；第二个冷钱包则属于纯收藏用途。本熊会把一些十分贵重或绝不会转售的NFT放入这个冷钱包中，并定期透过电话App或网络上的链上资料，检视里面的资产是否安好。如此一来，本熊的珍贵资产就被安放在长期不会连接网络的冷钱包中，而重要却又要连接网络的NFT亦受到冷钱包的一定保障，这导致本熊虽然不时会遭遇撞见事件，但自己的虚拟资产都依然安好。

结论

被被盗绝非人们渴望遇到的事，但不幸遇到时冷静面对，并调整心态，进行事后检讨，才是正确的处事态度。现在，Web3.0的圈子中虽然未有一套可以完整地打击犯罪集团和骇客的方法，但随着事件愈演愈烈，不少团队都行动起来，希望可以进一步地确保链上人们的资产安全。

但愿未来，Web3.0的氛围会变得健康且更加友善。

标签：NFTWEBFTXWEB3Musician Worlds NFTweb3域名有什么用BAYC Vault (NFTX)WEB3价格

Gateio热门资讯