链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Ethereum > 正文

DOS:新手学习Web3:那些骇客「教懂」我的道理与解决办法_NFT

作者:

时间:

前言

有天本熊在OpenSea上闲逛时,想起自己当初没有买到艺术向项目RenArt的NFT后,便到他们的项目Discord中看看公售两个月后的社群状况,意外发现本来热闹的社群已经冷清起来,常见的活动都消失了,只剩下持有者们不时会留下的「GM」、「GN」。虽然项目方依然有发公告,提及项目系统的开发进度,但其热闹度实在不如发售之前。

「大概会破发吧?」想着,打开了他们的OpenSea,果真如此,0.3ETH的发售价最终换来了0.09ETH的地板价,而且挂单量十分少,对于一直想要购入这个项目的本熊来说实在吸引。

现在RenArt在OpenSea上的情况。

于是,二话不说地入金,并在确认那些NFT已经被挂卖了数天后,终于把地板价附近的NFT都买起来,打算持有一张,其他则继续挂卖以回本,同时到社群上进行验证,想要成为当中等待项目继续发展的一分子。

当时的交易纪录

谁知到了晚上,本熊的Discord中突然出现一则信息,指自己的NFT被盗了,希望我可以把今天入手的NFT卖回给他。同时,他亦在RenArt群中指自己很无助,没想到几天没留意狐狸钱包,因此钱包中的NFT早就被盗了也不知道,实在令人无奈。

HTC:新手机产品将是“元宇宙载具”:金色财经报道,HTC首席财务长沉道邦表示,新款手机将于28日发布,这个产品是规划让消费者进入元宇宙的载具,目的就是要让消费者容易进入元宇宙,也让终端消费者融入生态系,并让客户更青睐HTC全方位元宇宙解决方案,通过与VIVERSE紧密连结,让元宇宙各种功能在手机端就能使用。(雅虎财经)[2022/6/17 4:34:13]

后来,在计算了入金、购买及挂卖的GasFee后,本熊几乎以买入价卖回给对方,并提醒对方必须要把贵重的NFT放在冷钱包中,以免再有损失。对方认同,也承诺会在未来购入冷钱包,事情总算告一段落。

然而,上述事件其实带来了三个问题:

热钱包的安全问题;持有者对于自己资产的重视程度;购买了被盗NFT的买家所受的伤害与责任问题。一、热钱包的安全问题

虽然本熊不是骇客,但本熊知道对于骇客来说,要盗取如Metamask、TrustWallet、Phantom等热钱包的资产其实可以很简单,例如:

经由各类型设备上的程式漏洞,盗取以截图方式纪录的钱包助记词,借此获得用户的资产。不少人认为自己的电话、电脑是属于自己的私人物品,但在骇客的眼中所有会接上互联网的仪器都是他们可检阅的物品。因此,只要热钱包所在的仪器出现程式漏洞,骇客就很容易乘虚而入,例如2022年4月Apple就传出过iCloud出现严重的保安漏洞,骇客因而获得不少以截图方式纪录下来的钱包助记词,从而盗走用户资产;浏览器不时会出现程式漏洞,容易导致狐狸钱包受牵连。作为现时最多人使用的Chrome浏览器,不时就会冒出要用户更新浏览器的通知,只因不管是开发程式的技术,还是骇客的骇入技巧都日新月异。就在2022年3月,骇客透过了Chrome的漏洞,使用远端连线将恶意程式码写入到用户的浏览器,以及藉由读取或写入超出缓冲记忆体,进而使浏览器崩溃,顺便盗取狐狸钱包的资产;链上系统出现安全漏洞,导致用户的热钱包资产被盗。2022年8月,Solana链上出现,使骇客可以从链上的多个热钱包中盗取用户资金,事件中至少有七千多名用户受影响;

“比特币成犯罪新手段”排名微博热搜榜第20位:微博热搜显示,“比特币成犯罪新手段”登上微博热搜榜,排名第20位。[2021/3/20 19:03:32]

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw经由骇入某些NFT项目的团队成员Discord、项目Facebook、Twitter等,并经项目帐号发放信息,吸引群内成员或一般大众点击连结、确认授权,最终导致不少人遇害。十分著名的例子包括了愚人节当天,周杰伦价值超过50万美元的无聊猿NFT就是因而被盗;

假装是正常项目以人们铸造NFT,利用这个方法将有恶意的智能合约与钱包连结,借此盗取钱包资产。自从Free-mint热潮冒起后,这个情况就经常发生,徒会以「FreeMint」、「快速白名单」等方法吸引用户加入他们的社群,并在公售前定期推出一些小活动让大家参与,为的就是在项目公售当天吸引大家铸造,然后盗取这些钱包中的资产;更多的不明原因。2022年5月26日,链新闻发了一篇文章,名为《没有结局的故事,MetaMask用户遇骇损失41颗以太币,苦思仍不知被骇原因》。文章指出了两个令苦主被骇的原因,例如Google帐号被骇及下载了Google的扩充套件,但实际上骇客用了何种方法盗取钱包资产依然是一个谜,实在叫人无法放心。上述众多情况都说明了重要资产放在热钱包中,会有数之不尽的风险被盗,这亦令NFT圈子变得危机重重。面对着现实上的工作问题、Web2.0的社交问题、Web3.0的资讯爆炸,背后竟然还要顾及自己的虚拟钱包资产的资安问题,利用检视智能合约、关闭Discord的私讯及加好友功能、对别人提供的连结及资讯提高警觉等,实在令人疲于奔命。

中南财经政法大学盘和林:区块链等技术为社会治理提供新手段:8月17日消息,中南财经政法大学数字经济研究院执行院长盘和林表示,快速建立健康码信息跨省互认机制,为今后其他各类政务信息的全国统一积累了经验;此次健康码全方位应用了人工智能、大数据、移动通信、云计算、区块链等多种技术实战练兵,为社会治理提供了精细化、精准化、快速化管理的新手段。(人民日报海外版)[2020/8/17]

二、持有者对于自己资产的重视程度

熊市来到,币价从USD3,000以上跌至USD1,000也试过,不少在牛市加入的新人眼见自己购入的虚拟货币从高处跌至低处,都引发了一种名为「无眼睇」的人性现象,即「不想看了」的意思,更甚是「不如一打死我」。

这个现象最终导致的,就是人们会倾向回避所有会令自己忆起惨痛经历的事物,当中就包括了NFT、虚拟货币等资产,而虚拟钱包,尤其是热钱包中的资产就是代表物。

结果,这些持有者往往会因为太久没有检视自己的虚拟钱包,导致钱包内的资产被盗了很几天后,才发现到自己被盗了的事实。这件事最终会引致一连串的问题发生,包括值钱的NFT有可能已在期间被多次转卖、被盗走的资金已被骇客经由在多个钱包中转移或移出资产本来所在的链,令本来就难以追查的资产下落变得更加无法被追踪等。

本熊没有认为这些受害者是因为不重视自己资产而出事的。相反地,他们正是十分重视自己的资产,导致眼见的损失成为了心理阴影,从而换来了更大的损失。

Blockstream首席执行官:在过去两周,已帮助新手购买超过100万美元的BTC:Blockstream首席执行官Adam Back发推表示,在过去两周中,他已经帮助刚接触加密货币的人购买了超过100万美元的比特币。他强调,这些这些投资者已经购买BTC并长期存储。他们此前从未对BTC感兴趣,因其有利的价格条件,被认为在当前的经济动荡中是不相关的对冲,于是他们决定对BTC进行存储。[2020/4/3]

事实上,当一个人蚀钱时,不想去面对算是人之常情,但被这种自己无法控制的事情影响心情,导致后来更糟糕的结果,一定是更差劲的结果。因此,本熊还是建议要不就把资产放在更加可靠的地方,如冷钱包,要不就勤加检查资产的安全,包括定期利用Revoke、EtherscanTokenApproval等网站,将一些不必要的智能合约从自己的虚拟钱包中撤销。

三、购买了被盗NFT的买家所受的伤害与责任问题

在OpenSea的海量交易和项目中闲逛时,如果看到了便宜且喜欢的NFT,想要购买或即时入手算是正常反应,谁知几天后,以为捡到便宜的NFT突然出现了警告标示,这时候买家才发现到原来自己买到的NFT是赃物。

2022年1月,一名著名的外国摄影师MarcoGrassi.eth就曾经在OpenSea上以1.5ETH买入一张名为「alienfren#7085」的NFT,并在几小时后将它以2.9ETH转售。然而,没想到购入不久后他就收到OpenSea的官方通知,指他购入的NFT是赃物,并冻结这个NFT的交易。

声音 | 菲律宾缉局:大型贩集团正利用比特币等创新手段进行隐匿:据philstar报道,6月10日,菲律宾缉局(PDEA)表示,政府的禁战争进入了一个新阶段,各大贩集团纷纷采取创新手段以避免被发现,比如通过所谓的“暗网”进行交易,以及使用比特币。[2019/6/11]

MarcoGrassi.eth知道后感到不满,于是在Twitter上寻求大家的支持和关注,让事件被公诸于世。他认为,OpenSea的做法其实是在惩罚买到赃物的无辜买家,并且对原本的受害者毫无好处,甚至令受害人数从一人增至两人。对他而言,他所花费的1.5ETH因而被冻结,而真正犯人则拿着他的资产逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在这个情况之下,又有谁可以保障到这些买家的权益?谁知道那个被低价出售的NFT,是因为被盗而被转卖,还是持有者急需用钱而低价出售?在不知情的情况下买到赃物时,买家又到底有没有责任?不要忘记,即使受害者举报了也需要时间给平台处理和认证,而在这段「等待」期间,对于网络活动十分迅速的Web3.0世界来说,已经有机会令无数的人们变成受害者或「共犯」。

本熊想,应该没有人希望自己在NFT世界中购物,最终却踏进了俄罗斯轮盘的戏码里吧?

诸多问题的解决方法:冷钱包

虽然现时并没有一个解决方法可以十全十美地,让自己的虚拟资产放置在安全的地方中,情况就跟人们把财产放到了银行里,都有可能因为金融问题而变成负资产一样。但是,我们可以从一大堆的问题中,找出最没可能或最少可能发生的问题,使自己的资产可以在90%以上的安全地方待着。

因此,冷钱包成为了不少人会选择的、安放虚拟资产的首选目标。

事实上,上文中不断地被提及的「热钱包」,指的是把资产放在「线上平台」,即必须连接互联网才能够使用的虚拟钱包,而「冷钱包」则是相反,用户可以把资产储放到不需要连接网络的实体装置,如USB、卡片式钱包等,并确保这些资产被使用、转移时,都必须经由自己手上的实体装置进行认证,情况就跟人们会把资产存放在夹万一样。

由于骇客的行动十分频繁,因此现在市面上亦愈来愈多专业团队,加入了开发冷钱包的行列,目的就是让NFT用家的资产能被保障。

本熊的SecuXNifty冷钱包,是跟NFT项目TeahouseHighTable合作的版本,与CoolWallet的卡式钱包一样帅气。

除了由法国制造的知名冷钱包品牌Ledger之外,还有被称为十分适合项目方使用的Trezor、价格比较便宜并由美国制造的KeepKey,以及由制造的超帅气卡片式冷钱包CoolWallet和以保护NFT为主的萤幕显示式冷钱包SecuXNifty等,都开始因骇客问题,而得以在圈内急速发展起来。

虽然本熊无法100%指大家的资产放入冷钱包内就必定安全,但即使是今年8月时的Solana链事件,都没有任何迹象指出被安放在冷钱包中的资产受到影响,可见冷钱包在保护用户资产一事上,确实发挥着一定的作用。

再来分享本熊保护自己资产的方法:数个热钱包,两个冷钱包。

热钱包主要是用来铸造新项目或在OpenSea、X2Y2等二手平台上进行交易时使用的。而之所以会有两个冷钱包,因为第一个冷钱包会作为热钱包与冷钱包的桥梁被使用,例如有部分NFT价值0.5ETH或以上,却因为NFT包含了一些赋能,需要连接网络时才能够使用,如通行证类型的NFT,因此本熊会选择把有这种需要的NFT都放在里头;第二个冷钱包则属于纯收藏用途。本熊会把一些十分贵重或绝不会转售的NFT放入这个冷钱包中,并定期透过电话App或网络上的链上资料,检视里面的资产是否安好。如此一来,本熊的珍贵资产就被安放在长期不会连接网络的冷钱包中,而重要却又要连接网络的NFT亦受到冷钱包的一定保障,这导致本熊虽然不时会遭遇撞见事件,但自己的虚拟资产都依然安好。

结论

被被盗绝非人们渴望遇到的事,但不幸遇到时冷静面对,并调整心态,进行事后检讨,才是正确的处事态度。现在,Web3.0的圈子中虽然未有一套可以完整地打击犯罪集团和骇客的方法,但随着事件愈演愈烈,不少团队都行动起来,希望可以进一步地确保链上人们的资产安全。

但愿未来,Web3.0的氛围会变得健康且更加友善。

标签:DOSNFTDISARBdose币最新消息Santas War NFT EpicSAUDISHIB价格arb币最新消息

Ethereum热门资讯
MET:Cyber??Connect联创:为什么说Meta无法构建线上社交的未来_BOOK

正如我们所说,未来用户线上社交方式正在被定义,但与之相较更重要的是,这被Meta和其他大型社交类公司所主导。但仅从表面看,Meta发展史就足以使人们理解该公司正在严重偏离趋势.

DOS:详解OG们追捧的聚合交易协议ODOS_NFT

最近一张关于ODOS的截图传遍了整个撸毛圈。本文将详细解释ODOS为何让这么多大佬如痴如醉,以及有哪些空投的机会.

DOS:现场直击 | 香港金融科技周Web3主题分享总结:监管和头部玩家聊了些什么?_NFTBOX

香港正在加速找回因为疫情和监管的原因而失去的Web3市场红利。作为香港金融当局支持的金融科技周,一直是是香港金融业拥抱新技术的一张对外招商和展示的名片和窗口.

APT:Aptos 跨链初体验:LayerZero、Wormhole 和 Mover 谁更好用?_Aptos

随着Aptos主网上线,空投暂时告一段落,其生态也开始进入崛起时期。作为一条“一切设计以资产为中心”的公链,Aptos上的DeFi即将迎来大考.

APT:a16z:公共随机性和随机性信标_Azeroth

公共随机性是许多现实世界安全协议的一个重要组成部分。在一些应用中,如和多人游戏,随机性增加了乐趣.

ZKS:ZkSync将于本月在主网上发布:一览您需要了解的情况_Syndicate

快速获取 ●以太坊第二层网络zkSync将于10月28日在主网上运行。●预计将在今年年底进行的全面启动之前,用户将无法使用。●这是第一次在实时环境中对以太坊的新扩展方法进行压力测试.