(封面圖來源:Tima Miroshnichenko Pexels)
做你自己的銀行,硬體錢包 (冷錢包)是目前的一種自託管最佳的方式,雖然要花一點錢,但對自我保管加密貨幣來說是相當合理的「投資」,銀行開戶都要一點錢在裡頭了,針對加密貨幣的網路駭客,多不勝數,每年被駭客盜走的加密貨幣更是億級別的,不可不慎。
True Node TEAM 致力於推加密貨幣的資安意識,鼓勵用戶直接使用比特幣現金作點對點電子現金交易,減少中心化機構的依賴,本文將分享NFT收藏家需具備的資安意識。
「NFT收藏家」屬於高風險的對象
NFT收藏家是最容易被「駭客」、「竊盜者」及「詐欺者」盯上的族群,社交帳號展示著昂貴「數位收藏品」,可以輕易調查出聯繫方式或是加密貨幣地址,再針對性地使用策略,放鬆你的警戒心,取得你的信任跟關鍵訊息,取得控制權。
NFT收藏家需要具備更高的資安意識,因為NFT 發展出的玩法眾多,涉及更多的智能合約授權,有時還需要第三方的錢包驗證機器人,使用硬體錢包保護重要加密資產僅是第一步,更重要的是留意「智能合約授權」與「驗證連接授權」。
騙術,一個原則「假」
- 假人員:假官方人員、假客服人員、假郵件、假簡訊。
- 假連結:假交易所、假NFT競標平台。
- 假項目:假NFT收藏品。
- 假授權:假Free Mint、假空投。
針對NFT收藏家最常遇到的攻擊是「社交工程詐騙」,一步一步,想盡辦法讓你「主動」交出「錢包控制權」,一種是獲取助記詞 (最高控制權),一種是透過「惡意智能合約」授權將「所有權」轉移,後者為主要的獲取手段。
社交工程是指對人進行心理操縱術,使其採取行動或泄露機密資訊。這與社會科學中的社會工程不同,後者不涉及泄露機密資訊的問題。
它是一種以資訊收集、欺詐或系統存取為目的的信任騙局,與傳統的 “騙局 “不同,它通常是更複雜的欺詐計劃中的許多步驟之一。
維基百科
助記詞絕對不能提供
加密貨幣中別相信任何人,要知道中心化社交帳號存在被攻擊的風險,可能帳號被盜,官方帳號背後都可能是虎視眈眈的盜賊。
主動私訊皆可能是詐騙,尤其要求錢包操作,務必要提高警覺,若要求提供助記詞、截圖或是不明連結掃碼,可直接忽略。
使用硬體錢包維持私鑰離線保存,將助記詞跟硬體錢包裝置妥善保存,只要不是主動告知他人助記詞,或被他人看到助記詞卡,單純作接收、發送加密貨幣或保存NFT加密資產是相當安全的。
智能合約授權
大部分NFT收藏家,實際上都看不懂智能合約授權內容,也不會留意內容,因此竊盜者會將「惡意代碼」埋入智能合約,這是最常發生的竊盜方式。
讓你主動操作將所有權轉移出去,想盡各種辦法,讓你操作智能合約授權,例如Free Mint、Wallet Connect等操作。
驗證授權
NFT項目及社區最常使用的是Discord,提供NFT持有者特殊的會員頻道,需要透過第三方身份驗證機器人,不名私訊及官方消息都請再三查證,甚至連第三方驗證機器人都可能被攻擊。
如果不是非常「必要」,不驗證其實也不會少塊肉,保護好你高價值NFT。
郵件釣魚
一旦NFT有人出價,通常競拍平台會寄郵件到你綁定的郵箱作報價通知。
建議不要透過郵箱連結「跳轉」網頁,曾發生偽裝成「假報價信」,引導你到「假競拍平台網站」授權的手法。
不明奇怪網站不要連接。
可以使用沒有安裝任何「瀏覽器擴充錢包」的電腦瀏覽器查看,不要直接連接錢包。
不明空投或項目公告
不明空投報價引導外部網站連結,請忽略。
項目公告也要注意是否項目方遭攻擊,三思而後行,向官方人員求證再操作。
不要開啟來路不明的程式
惡意程式檔名要注意,不明檔案別下載與開啟。
後話
OneKey 是唯一Coinbase Ventures投資的全開源、全系統覆蓋的硬體錢包品牌,絕對不輸Ledger及Trezor等一線品牌。
保管NFT資產一樣要做好錢包「價值分散」,並且做好硬體、軟體錢包分離,高風險操作使用低價值的軟體錢包完成,然後再將其轉移到更安全的硬體錢包中留存。
- 軟體錢包 (熱錢包):Mint、Offer、Sell、驗證等操作。
- 硬體錢包 (冷錢包):高價值收藏,可以每五萬、十萬美元價值分散錢包。
助記詞備份最重要是保存,若價值、資金龐大,預算充足的情況下多買一台OneKey Classic備份還原保存,助記詞也可選購OneKey Keytag 鈦合金助記詞板 (可備份四組12字或兩組24字助記詞)。
注意連接正確網址,尤其是高價值錢包,留意每次授權,最好能減少不必要的授權,減少授權就減少可能的風險操作。
