本文章在 Matters 的《夏日慶之冷錢包巡禮:Web3 資安徵文比賽》獲首獎。
有天本熊在 OpenSea 上閒逛時,想起自己當初沒有買到藝術向項目 RenArt 的 NFT 後,便到他們的項目 Discord 中看看公售兩個月後的社群狀況,意外發現本來熱鬧的社群已經冷清起來,常見的活動都消失了,只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告,提及項目系統的開發進度,但其熱鬧度實在不如發售之前。
「大概會破發吧?」想著,打開了他們的 OpenSea,果真如此,0.3 ETH 的發售價最終換來了 0.09 ETH 的地板價,而且掛單量十分少,對於一直想要購入這個項目的本熊來說實在吸引。
於是,二話不說地入金,並在確認那些 NFT 已經被掛賣了數天後,終於把地板價附近的 NFT 都買起來,打算持有一張,其他則繼續掛賣以回本,同時到社群上進行驗證,想要成為當中等待項目繼續發展的一分子。
誰知到了晚上,本熊的 Discord 中突然出現一則信息,指自己的 NFT 被盜了,希望我可以把今天入手的 NFT 賣回給他。同時,他亦在 RenArt 群中指自己很無助,沒想到幾天沒留意狐狸錢包,因此錢包中的 NFT 早就被盜了也不知道,實在令人無奈。
後來,在計算了入金、購買及掛賣的 Gas Fee 後,本熊幾乎以買入價賣回給對方,並提醒對方必須要把貴重的 NFT 放在冷錢包中,以免再有損失。對方認同,也承諾會在未來購入冷錢包,事情總算告一段落。
然而,上述事件其實帶來了三個問題:
熱錢包(Hot Wallet)的安全問題;
持有者對於自己資產的重視程度;
購買了被盜 NFT 的買家所受的傷害與責任問題。
雖然本熊不是駭客,但本熊知道對於駭客來說,要盜取如 Metamask、Trust Wallet、Phantom等熱錢包的資產其實可以很簡單,例如:
經由各類型設備上的程式漏洞,盜取以截圖方式紀錄的錢包助記詞,藉此獲得用戶的資產。不少人認為自己的電話、電腦是屬於自己的私人物品,但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此,只要熱錢包所在的儀器出現程式漏洞,駭客就很容易乘虛而入,例如 2022 年 4 月 Apple 就傳出過 iCloud 出現嚴重的保安漏洞,駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞,從而盜走用戶資產(相關新聞);
瀏覽器不時會出現程式漏洞,容易導致狐狸錢包受牽連。作為現時最多人使用的 Chrome 瀏覽器,不時就會冒出要用戶更新瀏覽器的通知,只因不管是開發程式的技術,還是駭客的駭入技巧都日新月異。就在 2022 年 3 月,駭客透過了 Chrome 的漏洞,使用遠端連線將惡意程式碼寫入到用戶的瀏覽器,以及藉由讀取或寫入超出緩衝記憶體,進而使瀏覽器崩潰,順便盜取狐狸錢包的資產;
鏈上系統出現安全漏洞,導致用戶的熱錢包資產被盜。2022 年 8 月,Solana 鏈上出現,使駭客可以從鏈上的多個熱錢包(Phantom 、 Slope 等)中盜取用戶資金,事件中至少有七千多名用戶受影響;
經由駭入某些 NFT 項目的團隊成員 Discord、項目 Facebook、Twitter等,並經項目帳號發放信息,吸引群內成員或一般大眾點擊連結、確認授權,最終導致不少人遇害。十分著名的例子包括了愚人節當天,周杰倫價值超過 50 萬美元的無聊猿 NFT 就是因而被盜;
假裝是正常項目以欺騙人們鑄造 NFT,利用這個方法將有惡意的智能合約與錢包連結,藉此盜取錢包資產。自從 Free-mint 熱潮冒起後,這個情況就經常發生,騙徒會以「Free Mint」、「快速白名單」等方法吸引用戶加入他們的社群,並在公售前定期推出一些小活動讓大家參與,為的就是在項目公售當天吸引大家鑄造,然後盜取這些錢包中的資產;
更多的不明原因。2022 年 5 月 26 日,鏈新聞發了一篇文章,名為《沒有結局的故事,MetaMask 用戶遇駭損失 41 顆以太幣,苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因,例如 Google 帳號被駭及下載了 Google 的擴充套件,但實際上駭客用了何種方法盜取錢包資產依然是一個謎,實在叫人無法放心。
上述眾多情況都說明了重要資產放在熱錢包中,會有數之不盡的風險被盜,這亦令 NFT 圈子變得危機重重。面對著現實上的工作問題、Web 2.0 的社交問題、Web 3.0 的資訊爆炸,背後竟然還要顧及自己的虛擬錢包資產的資安問題,利用檢視智能合約、關閉 Discord 的私訊及加好友功能、對別人提供的連結及資訊提高警覺等,實在令人疲於奔命。
熊市來到,幣價從 USD 3,000 以上跌至 USD 1,000 也試過,不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處,都引發了一種名為「無眼睇」的人性現象,即「不想看了」的意思,更甚是「不如一槍打死我」。
這個現象最終導致的,就是人們會傾向迴避所有會令自己憶起慘痛經歷的事物,當中就包括了 NFT、虛擬貨幣等資產,而虛擬錢包,尤其是熱錢包中的資產就是代表物。
結果,這些持有者往往會因為太久沒有檢視自己的虛擬錢包,導致錢包內的資產被盜了很幾天後,才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生,包括值錢的 NFT 有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈,令本來就難以追查的資產下落變得更加無法被追蹤等。
本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地,他們正是十分重視自己的資產,導致眼見的損失成為了心理陰影,從而換來了更大的損失。
事實上,當一個人蝕錢時,不想去面對算是人之常情,但被這種自己無法控制的事情影響心情,導致後來更糟糕的結果,一定是更差勁的結果。因此,本熊還是建議要不就把資產放在更加可靠的地方,如冷錢包,要不就勤加檢查資產的安全,包括定期利用 Revoke、Etherscan Token Approval 等網站,將一些不必要的智能合約從自己的虛擬錢包中撤銷。
在 OpenSea 的海量交易和項目中閒逛時,如果看到了便宜且喜歡的 NFT,想要購買或即時入手算是正常反應,誰知幾天後,以為撿到便宜的 NFT 突然出現了警告標示,這時候買家才發現到原來自己買到的 NFT 是贓物。
2022 年 1 月,一名著名的外國攝影師 MarcoGrassi.eth 就曾經在 OpenSea 上以 1.5 ETH 買入一張名為「alien fren #7085」的 NFT,並在幾小時後將它以 2.9 ETH 轉售。然而,沒想到購入不久後他就收到 OpenSea 的官方通知,指他購入的 NFT 是贓物,並凍結這個 NFT 的交易。
MarcoGrassi.eth 知道後感到不滿,於是在 Twitter 上尋求大家的支持和關注,讓事件被公諸於世。他認為,OpenSea 的做法其實是在懲罰買到贓物的無辜買家,並且對原本的受害者毫無好處,甚至令受害人數從一人增至兩人。對他而言,他所花費的 1.5 ETH 因而被凍結,而真正犯人則拿著他的資產逃之夭夭。
在這個情況之下,又有誰可以保障到這些買家的權益?誰知道那個被低價出售的 NFT,是因為被盜而被轉賣,還是持有者急需用錢而低價出售?在不知情的情況下買到贓物時,買家又到底有沒有責任?不要忘記,即使受害者舉報了也需要時間給平台處理和認證,而在這段「等待」期間,對於網絡活動十分迅速的 Web 3.0 世界來說,已經有機會令無數的人們變成受害者或「共犯」。
本熊想,應該沒有人希望自己在 NFT 世界中購物,最終卻踏進了俄羅斯輪盤的戲碼裡吧?
雖然現時並沒有一個解決方法可以十全十美地,讓自己的虛擬資產放置在安全的地方中,情況就跟人們把財產放到了銀行裡,都有可能因為金融問題而變成負資產一樣。但是,我們可以從一大堆的問題中,找出最沒可能或最少可能發生的問題,使自己的資產可以在 90% 以上的安全地方待著。
因此,冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。
事實上,上文中不斷地被提及的「熱錢包」,指的是把資產放在「線上平台」,即必須連接互聯網才能夠使用的虛擬錢包,而「冷錢包」則是相反,用戶可以把資產儲放到不需要連接網絡的實體裝置,如 USB、卡片式錢包等,並確保這些資產被使用、轉移時,都必須經由自己手上的實體裝置進行認證,情況就跟人們會把資產存放在夾萬(保險箱)一樣。
由於駭客的行動十分頻繁,因此現在市面上亦愈來愈多專業團隊,加入了開發冷錢包的行列,目的就是讓 NFT 用家的資產能被保障。
除了由法國製造的知名冷錢包品牌 Ledger 之外,還有被稱為十分適合項目方使用的 Trezor、價格比較便宜並由美國製造的 KeepKey,以及由台灣製造的超帥氣卡片式冷錢包 CoolWallet 和以保護 NFT 為主的螢幕顯示式冷錢包 SecuX Nifty 等,都開始因駭客問題,而得以在圈內急速發展起來。
雖然本熊無法 100% 指大家的資產放入冷錢包內就必定安全,但即使是今年 8 月時的 Solana 鏈事件,都沒有任何跡象指出被安放在冷錢包中的資產受到影響,可見冷錢包在保護用戶資產一事上,確實發揮著一定的作用。
再來分享本熊保護自己資產的方法:數個熱錢包,兩個冷錢包。
熱錢包主要是用來鑄造新項目或在 OpenSea、X2Y2 等二手平台上進行交易時使用的。
而之所以會有兩個冷錢包,因為第一個冷錢包會作為熱錢包與冷錢包的橋樑被使用,例如有部分 NFT 價值 0.5 ETH 或以上,卻因為 NFT 包含了一些賦能,需要連接網絡時才能夠使用,如通行證類型的 NFT,因此本熊會選擇把有這種需要的 NFT 都放在裡頭;
第二個冷錢包則屬於純收藏用途。本熊會把一些十分貴重或絕不會轉售的 NFT 放入這個冷錢包中,並定期透過電話 App 或網絡上的鏈上資料,檢視裡面的資產是否安好。
如此一來,本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中,而重要卻又要連接網絡的 NFT 亦受到冷錢包的一定保障,這導致本熊雖然不時會遭遇撞見詐騙事件,但自己的虛擬資產都依然安好。
被騙被盜絕非人們渴望遇到的事,但不幸遇到時冷靜面對,並調整心態,進行事後檢討,才是正確的處事態度。現在,Web 3.0 的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法,但隨著事件愈演愈烈,不少團隊都行動起來,希望可以進一步地確保鏈上人們的資產安全。
但願未來,Web 3.0 的氛圍會變得健康且更加友善。
若然你對於選擇冷錢包一事感到疑惑,不知道要如何選擇才好,又或想閱讀本熊分享冷錢包的使用經驗,歡迎先行追蹤本熊,以免錯過未來更多精彩的分享。
本文章將同時於 Mirror、Matters、Potato Media 及 Penana 刊載。
合作活動、文案可電郵聯絡 kumasanki@iboomcreative.com。