保護加密貨幣資產十大防盜心法

    防範未然︱去年加密貨幣犯罪規模逾1090億 十大「防盜心法」你要知!

    近年數碼資產大行其道,惟相關罪案亦此急增!上月區塊鏈分析機構 Chainalysis 公佈,去年全球加密貨幣相關的犯罪規模達 140 億美元(約 1,090 億港元),較一年前攀升 79%,主要因為發生在去中心化金融平台的詐騙與盜竊活動激增所致。其中詐騙為去年加密貨幣最主要的犯罪,造成的損失達 78 億美元,年增 82%;其次為盜竊,造成的損失達 32 億美元,按年急增五倍。

    香港方面,去年首 7 個月共有 725 宗投資騙案,遠超 2020 全年宗數,按年增近 2 倍,損失金額高達 25.2 億港元,按年增 19 倍,當中不少案件涉及加密貨幣。

    加密貨幣相關資產中,以 NFT 最受市場關注,亦大大吸引黑客犯罪,數到最大風險主要有以下四個:

    1.       黑客模仿 NFT 平台推廣手法,以免費名義發放假 NFT 資產,籍此誘騙受害人提供敏感資料

    2.       或將其檔案資料庫加密,勒索受害人以加密貨幣繳交贖金

    3.       設置 NFT 釣魚網站,讓使用者誤以為真,提供賬戶密碼

    4.       利用交易平台的保安漏洞入侵用戶賬戶,把用戶的資產轉走

    普遍被騙最大原因:「心急」

    香港資訊科技商會私隱及網路安全副主席、UDomain CEO 范健文表示,近月大眾對 NFT 的關注度急增,騙案亦隨之增加。

    他坦言,不少投資白都沒有考慮過 NFT 需要保安,「大家炒得熱哄哄,但到知道要需要保安時,一定係自己或者身邊嘅人出咗事,先知道原來會畀人偷!」

    他表示,普遍被騙的最大原因是「心急」,「依家幾乎每日都會有新嘅 NFT project 推出,而大多數都會用即時通訊程式嚟做宣傳,大家都未必搞得清楚邊啲係真 admin,邊個係會呃你嘅人。」加上大部份 NFT 都是限時及限量出售,「大家都會心急入唔入到白名單,係唔係有得拍賣,而冇搞清楚宣傳者嘅身份。」

    范健文續指,NFT 日新月異,有些新產品的正式官網內容都未必太完整,「過去有新嘅 NFT,就有幾個假嘅官網出現,個網址可能只係差少少,接近九成相似,正常人都未必分辨到分別。」他解釋,當投資者信任假網站後,即代表准許網站中的智能合約調動投資者錢包內的資產,讓騙徒有機可乘。

    范健文呼籲,盡量不要點擊一些不明來歷的連結,如名人加持的 NFT 為例,「如某某名人出 NFT,首先要去佢個人 Instagram 睇有無依件事,或者可以去啲可信嘅傳媒提供嘅連結,始終都比不明連結可信。

    他坦言自己不時都會收到假連結,聲稱需要提供錢包的提示短語( Recovery Phrase ),強調任何時候都不要將其告訴給任何人,「依個就好似銀行成日提醒用戶職員唔會主動查詢網上銀行密碼一樣。」

    建議用新電話作NFT交易  收藏用冷錢包

    他亦呼籲,在電腦或手機上安裝錢包時,首先要替裝置安裝防毒軟件,「盡量幻想電話就係錢包,唔會將佢周圍放喺你唔可信嘅網絡。」你亦建議用一部手機專作為交易 NFT 之用,「投資 NFT 嘅金錢,其實好大機會買到一部新電話或者電腦。」

    坊間不少都推薦使用「冷錢包」(離線錢包)作為防盜手段,范健文指此舉的確可防範被盜,但要配合實際情況,「好似一向炒賣嘅人,都唔會有可能下下用冷錢包。」

    他指出,購買冷錢包時,需了解自己是那一類型投資者,「如果係收藏家,應該將不動資產放喺冷錢包」,因為每一次將加密貨幣轉移都需要收費。

    至於如投資者以炒作為主,范健文就建議在錢包內設置新的地址,「好似你重新開一個 MetaMask,只要做好密碼同恢復短語( Recovery Phrase )管理,可以考慮將唔同 NFT 放喺唔同地址嘅錢包內。」他亦指,因不法份子可經區塊鏈上看到銀包上的資產,如發現有大量貴價收藏,「就會好吸引其他人攻擊」,他叮囑區塊鏈上亦要「財不可露眼」。

    留意平台是否容許用戶自行設定個別編碼

    Newman Capital 投資合夥人葉永禧亦提到,很多時用戶由於希望方便交易,所以只將 NFT 存放在 Metamask 或 Phantom 等 web 3.0 錢包,如果用戶的錢包和一些有可疑的協議或網站連結,那就有機會導致錢包內的資產,包括 NFT 被駭客盜走,應盡量減少熱錢包內 NFT 的數量,以免造成不必要的損失。

    另外用戶也需要在平台層面上多加留意NFT是否安全,因為最近有消息指個別NFT marketplace容許用戶自行設定個別編碼,當用戶在marketplace瀏覽相關NFT的時候,用戶有機會在不知情的情況下,相關的NFT會把瀏覽用戶的私人資料,包括IP地址,傳送至NFT創作人,有關的漏洞同樣有機會導致資產損失。

    極端情況:每次交易都轉地址

    Innopage 創辦人李勁華以近日矚目 NFT 項目《Monkey Kingdom》Discord 社群遭黑客攻擊為例,認為投資者難以避免騙案發生,「因為被攻擊嘅係 Discord,而唔係 Monkey Kingdom 本身,之後黑客假冒 Monkey Kingdom 出咗啲有問題嘅 link 欺騙投資者」,不少投資者信任該社群,沒有再次留意相關連結的認證,不虞有詐下被騙走錢包所有金錢。

    李勁華以此表示,事件反映官方都有被入侵的可能,亦指在信任任何網站前,都要了解清楚其認證,「但現實生活簽合約係一樣」,並時刻保持警惕。他亦認為,在 web 3.0 下幾乎沒有客戶服務,「投資者要將自己行為負責晒,因為你授權咗網頁,最終無咗係追唔返。」

    他指出,分散資產到錢包是防範方法之一,補充一個錢包可產生無限個地址,極端情況下,投資者可考慮每一次交易都可以產生一個新的地址,「交易完之後就永遠唔再用」,令不法份子難以追查資產流向,「當然操作上會有困難,因為每次產生地址都比較複雜」。

    有指認證上有不少專業技術詞彙,令人難以理解,李勁華坦言「有啲甚至唔係英文」,「Web3.0 下要花時間去了解去學,情況就似唔經經記去買股票,喺無監管嘅區塊鏈世界無經紀,依自己做埋銀行同股票行嘅角色。」他重申:「喺去中心化下,無人會幫到你。」

    綜合分析,要保護NFT資產,可參考以下「十大心法」:

    1.       盡量不要點擊一些不明來歷的連結

    2.       不要向任何人透露錢包提示短語

    3.       欲購買名人關聯的 NFT 前,盡量刻實消息是否屬實

    4.       建議用一部手機專作為交易 NFT 之用

    5.       為裝置安裝錢包前,先安裝防毒軟件

    6.       經常更新錢包軟件

    7.       啟用白名單轉資產功能,防止黑客提走賬戶資產

    8.       如購買 NFT 作收藏之用,可考慮使用「冷錢包」

    9.       考慮以新的地址進行交易

    10.   不要盲目跟風,先求知、再投資

    #Blockchain #DigitalAsset #fintalk180 #Metamask #MonkeyKingdom #NFT #冷錢包 #加密貨幣 #區塊鏈 #數字資產 #李勁華 #熱錢包 #范健文 #葉永禧 #防盜

    相關文章