防範未然︱去年加密貨幣犯罪規模逾1090億 十大「防盜心法」你要知！

近年數碼資產大行其道，惟相關罪案亦此急增！上月區塊鏈分析機構 Chainalysis 公佈，去年全球加密貨幣相關的犯罪規模達 140 億美元（約 1,090 億港元），較一年前攀升 79%，主要因為發生在去中心化金融平台的詐騙與盜竊活動激增所致。其中詐騙為去年加密貨幣最主要的犯罪，造成的損失達 78 億美元，年增 82%；其次為盜竊，造成的損失達 32 億美元，按年急增五倍。

香港方面，去年首 7 個月共有 725 宗投資騙案，遠超 2020 全年宗數，按年增近 2 倍，損失金額高達 25.2 億港元，按年增 19 倍，當中不少案件涉及加密貨幣。

加密貨幣相關資產中，以 NFT 最受市場關注，亦大大吸引黑客犯罪，數到最大風險主要有以下四個：

1.       黑客模仿 NFT 平台推廣手法，以免費名義發放假 NFT 資產，籍此誘騙受害人提供敏感資料

2.       或將其檔案資料庫加密，勒索受害人以加密貨幣繳交贖金

3.       設置 NFT 釣魚網站，讓使用者誤以為真，提供賬戶密碼

4.       利用交易平台的保安漏洞入侵用戶賬戶，把用戶的資產轉走

普遍被騙最大原因：「心急」

香港資訊科技商會私隱及網路安全副主席、UDomain CEO 范健文表示，近月大眾對 NFT 的關注度急增，騙案亦隨之增加。

他坦言，不少投資白都沒有考慮過 NFT 需要保安，「大家炒得熱哄哄，但到知道要需要保安時，一定係自己或者身邊嘅人出咗事，先知道原來會畀人偷！」

他表示，普遍被騙的最大原因是「心急」，「依家幾乎每日都會有新嘅 NFT project 推出，而大多數都會用即時通訊程式嚟做宣傳，大家都未必搞得清楚邊啲係真 admin，邊個係會呃你嘅人。」加上大部份 NFT 都是限時及限量出售，「大家都會心急入唔入到白名單，係唔係有得拍賣，而冇搞清楚宣傳者嘅身份。」

范健文續指，NFT 日新月異，有些新產品的正式官網內容都未必太完整，「過去有新嘅 NFT，就有幾個假嘅官網出現，個網址可能只係差少少，接近九成相似，正常人都未必分辨到分別。」他解釋，當投資者信任假網站後，即代表准許網站中的智能合約調動投資者錢包內的資產，讓騙徒有機可乘。

范健文呼籲，盡量不要點擊一些不明來歷的連結，如名人加持的 NFT 為例，「如某某名人出 NFT，首先要去佢個人 Instagram 睇有無依件事，或者可以去啲可信嘅傳媒提供嘅連結，始終都比不明連結可信。

他坦言自己不時都會收到假連結，聲稱需要提供錢包的提示短語（ Recovery Phrase ），強調任何時候都不要將其告訴給任何人，「依個就好似銀行成日提醒用戶職員唔會主動查詢網上銀行密碼一樣。」

建議用新電話作NFT交易  收藏用冷錢包

他亦呼籲，在電腦或手機上安裝錢包時，首先要替裝置安裝防毒軟件，「盡量幻想電話就係錢包，唔會將佢周圍放喺你唔可信嘅網絡。」你亦建議用一部手機專作為交易 NFT 之用，「投資 NFT 嘅金錢，其實好大機會買到一部新電話或者電腦。」

坊間不少都推薦使用「冷錢包」（離線錢包）作為防盜手段，范健文指此舉的確可防範被盜，但要配合實際情況，「好似一向炒賣嘅人，都唔會有可能下下用冷錢包。」

他指出，購買冷錢包時，需了解自己是那一類型投資者，「如果係收藏家，應該將不動資產放喺冷錢包」，因為每一次將加密貨幣轉移都需要收費。

至於如投資者以炒作為主，范健文就建議在錢包內設置新的地址，「好似你重新開一個 MetaMask，只要做好密碼同恢復短語（ Recovery Phrase ）管理，可以考慮將唔同 NFT 放喺唔同地址嘅錢包內。」他亦指，因不法份子可經區塊鏈上看到銀包上的資產，如發現有大量貴價收藏，「就會好吸引其他人攻擊」，他叮囑區塊鏈上亦要「財不可露眼」。

留意平台是否容許用戶自行設定個別編碼

Newman Capital 投資合夥人葉永禧亦提到，很多時用戶由於希望方便交易，所以只將 NFT 存放在 Metamask 或 Phantom 等 web 3.0 錢包，如果用戶的錢包和一些有可疑的協議或網站連結，那就有機會導致錢包內的資產，包括 NFT 被駭客盜走，應盡量減少熱錢包內 NFT 的數量，以免造成不必要的損失。

另外用戶也需要在平台層面上多加留意NFT是否安全，因為最近有消息指個別NFT marketplace容許用戶自行設定個別編碼，當用戶在marketplace瀏覽相關NFT的時候，用戶有機會在不知情的情況下，相關的NFT會把瀏覽用戶的私人資料，包括IP地址，傳送至NFT創作人，有關的漏洞同樣有機會導致資產損失。

極端情況：每次交易都轉地址

Innopage 創辦人李勁華以近日矚目 NFT 項目《Monkey Kingdom》Discord 社群遭黑客攻擊為例，認為投資者難以避免騙案發生，「因為被攻擊嘅係 Discord，而唔係 Monkey Kingdom 本身，之後黑客假冒 Monkey Kingdom 出咗啲有問題嘅 link 欺騙投資者」，不少投資者信任該社群，沒有再次留意相關連結的認證，不虞有詐下被騙走錢包所有金錢。

李勁華以此表示，事件反映官方都有被入侵的可能，亦指在信任任何網站前，都要了解清楚其認證，「但現實生活簽合約係一樣」，並時刻保持警惕。他亦認為，在 web 3.0 下幾乎沒有客戶服務，「投資者要將自己行為負責晒，因為你授權咗網頁，最終無咗係追唔返。」

他指出，分散資產到錢包是防範方法之一，補充一個錢包可產生無限個地址，極端情況下，投資者可考慮每一次交易都可以產生一個新的地址，「交易完之後就永遠唔再用」，令不法份子難以追查資產流向，「當然操作上會有困難，因為每次產生地址都比較複雜」。

有指認證上有不少專業技術詞彙，令人難以理解，李勁華坦言「有啲甚至唔係英文」，「Web3.0 下要花時間去了解去學，情況就似唔經經記去買股票，喺無監管嘅區塊鏈世界無經紀，依自己做埋銀行同股票行嘅角色。」他重申：「喺去中心化下，無人會幫到你。」

綜合分析，要保護NFT資產，可參考以下「十大心法」：

1.       盡量不要點擊一些不明來歷的連結

2.       不要向任何人透露錢包提示短語

3.       欲購買名人關聯的 NFT 前，盡量刻實消息是否屬實

4.       建議用一部手機專作為交易 NFT 之用

5.       為裝置安裝錢包前，先安裝防毒軟件

6.       經常更新錢包軟件

7.       啟用白名單轉資產功能，防止黑客提走賬戶資產

8.       如購買 NFT 作收藏之用，可考慮使用「冷錢包」

9.       考慮以新的地址進行交易

10.   不要盲目跟風，先求知、再投資