以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > FIL > Info

新手學習Web3:那些駭客「教懂」我的道理與解決辦法_NFT

Author:

Time:1900/1/1 0:00:00

前言

有天本熊在OpenSea上閑逛時,想起自己當初沒有買到藝術向項目RenArt的NFT后,便到他們的項目Discord中看看公售兩個月后的社群狀況,意外發現本來熱鬧的社群已經冷清起來,常見的活動都消失了,只剩下持有者們不時會留下的「GM」、「GN」。雖然項目方依然有發公告,提及項目系統的開發進度,但其熱鬧度實在不如發售之前。

「大概會破發吧?」想著,打開了他們的OpenSea,果真如此,0.3ETH的發售價最終換來了0.09ETH的地板價,而且掛單量十分少,對于一直想要購入這個項目的本熊來說實在吸引。

現在RenArt在OpenSea上的情況。

于是,二話不說地入金,并在確認那些NFT已經被掛賣了數天后,終于把地板價附近的NFT都買起來,打算持有一張,其他則繼續掛賣以回本,同時到社群上進行驗證,想要成為當中等待項目繼續發展的一分子。

當時的交易紀錄

誰知到了晚上,本熊的Discord中突然出現一則信息,指自己的NFT被盜了,希望我可以把今天入手的NFT賣回給他。同時,他亦在RenArt群中指自己很無助,沒想到幾天沒留意狐貍錢包,因此錢包中的NFT早就被盜了也不知道,實在令人無奈。

Revolut推出針對多代幣投資的“Crypto Collections”功能:4月7日消息,總部位于英國的數字銀行應用程序Revolut根據對應的底層技術將100多種代幣進行了分組。

該功能根據與底層技術相關的各種因素(如NFT、元宇宙或游戲),將Revolut應用程序上可用的100多種代幣分為不同系列。客戶將能夠購買整個系列,并在所有代幣中平均分配他們的投資,或跟蹤整個系列。

據介紹,通過“Crypto Collections”,用戶可以基于底層技術發現新的代幣,并更多地了解代幣背后協議的功能。(The Paypers)[2023/4/7 13:50:31]

后來,在計算了入金、購買及掛賣的GasFee后,本熊幾乎以買入價賣回給對方,并提醒對方必須要把貴重的NFT放在冷錢包中,以免再有損失。對方認同,也承諾會在未來購入冷錢包,事情總算告一段落。

然而,上述事件其實帶來了三個問題:

熱錢包的安全問題;持有者對于自己資產的重視程度;購買了被盜NFT的買家所受的傷害與責任問題。一、熱錢包的安全問題

雖然本熊不是駭客,但本熊知道對于駭客來說,要盜取如Metamask、TrustWallet、Phantom等熱錢包的資產其實可以很簡單,例如:

經由各類型設備上的程式漏洞,盜取以截圖方式紀錄的錢包助記詞,借此獲得用戶的資產。不少人認為自己的電話、電腦是屬于自己的私人物品,但在駭客的眼中所有會接上互聯網的儀器都是他們可檢閱的物品。因此,只要熱錢包所在的儀器出現程式漏洞,駭客就很容易乘虛而入,例如2022年4月Apple就傳出過iCloud出現嚴重的保安漏洞,駭客因而獲得不少以截圖方式紀錄下來的錢包助記詞,從而盜走用戶資產;瀏覽器不時會出現程式漏洞,容易導致狐貍錢包受牽連。作為現時最多人使用的Chrome瀏覽器,不時就會冒出要用戶更新瀏覽器的通知,只因不管是開發程式的技術,還是駭客的駭入技巧都日新月異。就在2022年3月,駭客透過了Chrome的漏洞,使用遠端連線將惡意程式碼寫入到用戶的瀏覽器,以及藉由讀取或寫入超出緩沖記憶體,進而使瀏覽器崩潰,順便盜取狐貍錢包的資產;鏈上系統出現安全漏洞,導致用戶的熱錢包資產被盜。2022年8月,Solana鏈上出現,使駭客可以從鏈上的多個熱錢包中盜取用戶資金,事件中至少有七千多名用戶受影響;

SBF律師已與美檢察官就SBF保釋的新條件達成一致:金色財經報道,根據法庭文件,FTX創始人SBF的律師已與美國檢察官就保釋的新條件達成一致。提交給紐約南區地方法官Lewis Kaplan批準的條件中,SBF將獲得一部新手機,該手機無法訪問互聯網,并且僅限于短信和語音通話。SBF還將獲得一臺新筆記本電腦,不過功能有限,只能訪問經批準的網站。據悉,這些條件最初是在本月初提出的,(CoinDesk)[2023/3/28 13:31:00]

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw經由駭入某些NFT項目的團隊成員Discord、項目Facebook、Twitter等,并經項目帳號發放信息,吸引群內成員或一般大眾點擊連結、確認授權,最終導致不少人遇害。十分著名的例子包括了愚人節當天,周杰倫價值超過50萬美元的無聊猿NFT就是因而被盜;

假裝是正常項目以欺騙人們鑄造NFT,利用這個方法將有惡意的智能合約與錢包連結,借此盜取錢包資產。自從Free-mint熱潮冒起后,這個情況就經常發生,騙徒會以「FreeMint」、「快速白名單」等方法吸引用戶加入他們的社群,并在公售前定期推出一些小活動讓大家參與,為的就是在項目公售當天吸引大家鑄造,然后盜取這些錢包中的資產;更多的不明原因。2022年5月26日,鏈新聞發了一篇文章,名為《沒有結局的故事,MetaMask用戶遇駭損失41顆以太幣,苦思仍不知被駭原因》。文章指出了兩個令苦主被駭的原因,例如Google帳號被駭及下載了Google的擴充套件,但實際上駭客用了何種方法盜取錢包資產依然是一個謎,實在叫人無法放心。上述眾多情況都說明了重要資產放在熱錢包中,會有數之不盡的風險被盜,這亦令NFT圈子變得危機重重。面對著現實上的工作問題、Web2.0的社交問題、Web3.0的資訊爆炸,背后竟然還要顧及自己的虛擬錢包資產的資安問題,利用檢視智能合約、關閉Discord的私訊及加好友功能、對別人提供的連結及資訊提高警覺等,實在令人疲于奔命。

楊東:要通過區塊鏈技術將數據價值更好發揮:金色財經報道,日前,由上海華瑞銀行、中國人民大學國際貨幣研究所(IMI)與中國人民大學金融科技研究所聯合主辦的“華瑞金融科技沙龍”系列沙龍(第2期)在線上會議進行。中國人民大學區塊鏈研究院執行院長楊東表示,如何通過區塊鏈技術將數據價值更好發揮,把數據價值的利益分配機制反饋至用戶也是未來重點攻克的方向。

楊東提出了三點看法。第一,如今數字化平臺已經帶有去公司化的屬性,但還沒有形成真正的組織化。未來通過區塊鏈技術真正實現可替代公司組織的DAO,去中心化的組織必將真正地來取代公司。

第二,靈魂數字可能性是未來必然的發展方向。未來在數字資產方向需要解決的兩大問題——身份問題與靈魂問題——可通過物理人與數字人的數據化連接得到解決,實現元宇宙身份的確認、全日制的靈魂交流與物理人的理想構建。

第三,數據生產要素將發揮重要作用,共票制度(Coken)將輔助體現數據價值。[2022/9/4 13:07:08]

二、持有者對于自己資產的重視程度

熊市來到,幣價從USD3,000以上跌至USD1,000也試過,不少在牛市加入的新人眼見自己購入的虛擬貨幣從高處跌至低處,都引發了一種名為「無眼睇」的人性現象,即「不想看了」的意思,更甚是「不如一槍打死我」。

這個現象最終導致的,就是人們會傾向回避所有會令自己憶起慘痛經歷的事物,當中就包括了NFT、虛擬貨幣等資產,而虛擬錢包,尤其是熱錢包中的資產就是代表物。

區塊鏈碳排放初創公司Carbon Stack完成50萬歐元種子輪融資:金色財經報道,總部位于德國漢堡的區塊鏈碳排放初創公司 Carbon Stack 宣布完成 50 萬歐元種子輪融資,該公司利用區塊鏈技術來構建高透明度的造林計劃來抵消碳排放,每項碳抵消計劃都在鏈上記錄,防止偽造“漂綠”數據。(hamburg-news)[2022/8/18 12:33:56]

結果,這些持有者往往會因為太久沒有檢視自己的虛擬錢包,導致錢包內的資產被盜了很幾天后,才發現到自己被盜了的事實。這件事最終會引致一連串的問題發生,包括值錢的NFT有可能已在期間被多次轉賣、被盜走的資金已被駭客經由在多個錢包中轉移或移出資產本來所在的鏈,令本來就難以追查的資產下落變得更加無法被追蹤等。

本熊沒有認為這些受害者是因為不重視自己資產而出事的。相反地,他們正是十分重視自己的資產,導致眼見的損失成為了心理陰影,從而換來了更大的損失。

事實上,當一個人蝕錢時,不想去面對算是人之常情,但被這種自己無法控制的事情影響心情,導致后來更糟糕的結果,一定是更差勁的結果。因此,本熊還是建議要不就把資產放在更加可靠的地方,如冷錢包,要不就勤加檢查資產的安全,包括定期利用Revoke、EtherscanTokenApproval等網站,將一些不必要的智能合約從自己的虛擬錢包中撤銷。

三、購買了被盜NFT的買家所受的傷害與責任問題

在OpenSea的海量交易和項目中閑逛時,如果看到了便宜且喜歡的NFT,想要購買或即時入手算是正常反應,誰知幾天后,以為撿到便宜的NFT突然出現了警告標示,這時候買家才發現到原來自己買到的NFT是贓物。

Coinbase將上線TIME、DEXT、DREP、JUP和MUSE:6月23日消息,據官方推特,Coinbase將上線Chrono .tech (TIME)、DEXTools (DEXT) 、Drep[new] (DREP)、Jupiter (JUP) 和 Muse (MUSE) 。如果滿足流動性條件,交易將于太平洋時間6月23日9:00(北京時間6月24日0:00)或之后開始。

如果建立了足夠的該資產供應,TIME-USD、TIME-USDT、DEXT-USD、DEXT-USDT、DREP-USD、DREP-USDT、JUP-USD、JUP-USDT、MUSE-USD和MUSE-USDT交易對的交易將分階段開放。

注意:Coinbase僅在以太坊網絡(ERC-20 代幣)上支持以上資產,不要通過其他網絡發送此資產,否則資金可能會丟失。[2022/6/23 1:26:24]

2022年1月,一名著名的外國攝影師MarcoGrassi.eth就曾經在OpenSea上以1.5ETH買入一張名為「alienfren#7085」的NFT,并在幾小時后將它以2.9ETH轉售。然而,沒想到購入不久后他就收到OpenSea的官方通知,指他購入的NFT是贓物,并凍結這個NFT的交易。

MarcoGrassi.eth知道后感到不滿,于是在Twitter上尋求大家的支持和關注,讓事件被公諸于世。他認為,OpenSea的做法其實是在懲罰買到贓物的無辜買家,并且對原本的受害者毫無好處,甚至令受害人數從一人增至兩人。對他而言,他所花費的1.5ETH因而被凍結,而真正犯人則拿著他的資產逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在這個情況之下,又有誰可以保障到這些買家的權益?誰知道那個被低價出售的NFT,是因為被盜而被轉賣,還是持有者急需用錢而低價出售?在不知情的情況下買到贓物時,買家又到底有沒有責任?不要忘記,即使受害者舉報了也需要時間給平臺處理和認證,而在這段「等待」期間,對于網絡活動十分迅速的Web3.0世界來說,已經有機會令無數的人們變成受害者或「共犯」。

本熊想,應該沒有人希望自己在NFT世界中購物,最終卻踏進了俄羅斯輪盤的戲碼里吧?

諸多問題的解決方法:冷錢包

雖然現時并沒有一個解決方法可以十全十美地,讓自己的虛擬資產放置在安全的地方中,情況就跟人們把財產放到了銀行里,都有可能因為金融問題而變成負資產一樣。但是,我們可以從一大堆的問題中,找出最沒可能或最少可能發生的問題,使自己的資產可以在90%以上的安全地方待著。

因此,冷錢包成為了不少人會選擇的、安放虛擬資產的首選目標。

事實上,上文中不斷地被提及的「熱錢包」,指的是把資產放在「線上平臺」,即必須連接互聯網才能夠使用的虛擬錢包,而「冷錢包」則是相反,用戶可以把資產儲放到不需要連接網絡的實體裝置,如USB、卡片式錢包等,并確保這些資產被使用、轉移時,都必須經由自己手上的實體裝置進行認證,情況就跟人們會把資產存放在夾萬一樣。

由于駭客的行動十分頻繁,因此現在市面上亦愈來愈多專業團隊,加入了開發冷錢包的行列,目的就是讓NFT用家的資產能被保障。

本熊的SecuXNifty冷錢包,是跟NFT項目TeahouseHighTable合作的版本,與CoolWallet的卡式錢包一樣帥氣。

除了由法國制造的知名冷錢包品牌Ledger之外,還有被稱為十分適合項目方使用的Trezor、價格比較便宜并由美國制造的KeepKey,以及由臺灣制造的超帥氣卡片式冷錢包CoolWallet和以保護NFT為主的螢幕顯示式冷錢包SecuXNifty等,都開始因駭客問題,而得以在圈內急速發展起來。

雖然本熊無法100%指大家的資產放入冷錢包內就必定安全,但即使是今年8月時的Solana鏈事件,都沒有任何跡象指出被安放在冷錢包中的資產受到影響,可見冷錢包在保護用戶資產一事上,確實發揮著一定的作用。

再來分享本熊保護自己資產的方法:數個熱錢包,兩個冷錢包。

熱錢包主要是用來鑄造新項目或在OpenSea、X2Y2等二手平臺上進行交易時使用的。而之所以會有兩個冷錢包,因為第一個冷錢包會作為熱錢包與冷錢包的橋梁被使用,例如有部分NFT價值0.5ETH或以上,卻因為NFT包含了一些賦能,需要連接網絡時才能夠使用,如通行證類型的NFT,因此本熊會選擇把有這種需要的NFT都放在里頭;第二個冷錢包則屬于純收藏用途。本熊會把一些十分貴重或絕不會轉售的NFT放入這個冷錢包中,并定期透過電話App或網絡上的鏈上資料,檢視里面的資產是否安好。如此一來,本熊的珍貴資產就被安放在長期不會連接網絡的冷錢包中,而重要卻又要連接網絡的NFT亦受到冷錢包的一定保障,這導致本熊雖然不時會遭遇撞見詐騙事件,但自己的虛擬資產都依然安好。

結論

被騙被盜絕非人們渴望遇到的事,但不幸遇到時冷靜面對,并調整心態,進行事后檢討,才是正確的處事態度。現在,Web3.0的圈子中雖然未有一套可以完整地打擊犯罪集團和駭客的方法,但隨著事件愈演愈烈,不少團隊都行動起來,希望可以進一步地確保鏈上人們的資產安全。

但愿未來,Web3.0的氛圍會變得健康且更加友善。

Tags:NFTUSDETHENSbnft幣的發行量UUSD價格ethylSENSO幣

FIL
ETHBogota黑客松12 個獲勝項目:構建應用層成為以太坊的下一階段主流敘事_ENS

前言 以太坊進入后合并時代,PoS順利取代PoW,對網絡的可擴展性進行改進成為下一重點。Bulider終于可以在以太坊上構建面向億級消費者的Web3應用,L2、ZK等技術將進一步壓低使用成本,D.

1900/1/1 0:00:00
9月29日行情分析:無聊的行情_加密貨幣

Gnosis Chain預計將于8月1日啟動主網Shapella升級:6月26日消息,Gnosis Chain 近日宣布將于北京時間 8 月 1 日 19:34:20 左右.

1900/1/1 0:00:00
鏈上期權 AMM 探索者 —— Lyra_DEL

鏈上期權概述 目前鏈上的期權的玩法主要有三種:流動池做市訂單簿結構化產品 訂單薄 典型產品:Zeta,Psyoption,Opyn類似于dydx.

1900/1/1 0:00:00
資深「羊毛黨」成員告訴你,如何低成本薅羊毛_FLO

看到很多因為踏空aptos空投的小伙伴開始擼毛了,那我作為去年基本同一時間因為踏空ens進入擼毛圈純gas費花掉了7.746個均價為4000多的ETH的過來人給正在擼毛的一些小建議:首先最重要的.

1900/1/1 0:00:00
1confirmation:加密世界中的純粹主義者與游客_加密貨幣

2009年,中本聰發布比特幣白皮書,并開源代碼。從那時起,加密行業就一直保持著開放精神。任何人都可以通過復制代碼、改變營銷方式推出其代幣和網絡.

1900/1/1 0:00:00
XEN 免費Mint~大盤嚴重數量,變盤也許就在最近~_比特幣

美國股市繼續下跌,成功的把加密市場再次拉下了水,昨晚道指下跌了2.12%,收盤報29296.79。納斯達克下跌了3.8%,收盤報10652.4。標普500下跌了2.8%,收盤報3639.66.

1900/1/1 0:00:00
ads