NFT资产易被窃 乱用WiFi损失过百万 专家解构保安漏洞 宜分散离綫储存
2021-11-25 03:39
非同质化代币(Non-fungible token,简称NFT)近年大行其道,相关的「加密艺术」价值绝不亚于实体艺术品,开价高达数百万元,甚至亿元计,吸引大批投资者及收藏家,不法之徒也同样对NFT艺术品虎视眈眈。熟悉NFT投资的业界认为,NFT概念新颖但风险高,非人人可掌握,曾有人不慎将加密货币钱包密码外泄,被黑客入侵钱包,损失百万计资产,至今仍未能追讨。多名网络安全专家建议,NFT收藏家须提高网络安全意识,除了妥善管理钱包密码,亦应使用离线装置储存资产,以减低NFT资产被盗窃的风险。
近年全球掀起「加密艺术」热潮,本地不少名人、导演、艺术家都顺势推出NFT作品,渐渐引起本地市场对NFT的关注。香港资讯科技商会副主席、UDomain行政总裁范健文指,NFT商品近年备受投资者推崇,正因它有价有市,故此亦吸引不少黑客,「NFT不像过往实体艺术品,被偷走有一定难度。」
具不可替代特性的NFT,与比特币、以太坊、狗狗币等加密货币,同样收纳在电子钱包中。要存取电子钱包中的NFT,必须利用密码才能打开,换言之,当钱包密码或助字词(Seed Phrase)外泄,即类似个人银行户口密码被公开,令事主钱包内的NFT艺术品及加密货币有机会被一并偷走。翻查报道,本港今年至少有两宗NFT失窃案,两名受害人的虚拟资产户口内,多幅NFT艺术品及加密货币失窃,总值逾400万元。警方调查后相信,被盗原因与钓鱼网站及使用免费WiFi有关。
钓鱼网攻击 植入病毒偷资产
范健文分析指,NFT常见的失窃或诈骗案主要分两类,包括误将助字词交予他人、误上假冒加密货币交易平台。他解释,NFT艺术品多在Twitter、Telegram等社交平台推广,一些对加密货币或NFT不了解的人较易受骗,招致损失,「只要示意想交易,自然有很多人会私讯你,向你徵求助字词。」他续指,一些假平台的网站域名,与真平台非常相似,「可能是O与0的出入,让使用者难以察觉」,情况与早年假冒银行的钓鱼网站类似。
Check Point香港及台湾技术总监侯嘉俊直言,绝大部分NFT骗案涉及钓鱼攻击,黑客毋须拥有高超技术,只要吸引到人点击连结便可。他特别提到,纵然大众惯用手机,但对手机的保安意识低,安装防毒软件比例很少,当市民在社交媒体或通讯软件中,不慎点击钓鱼网站连结后,便可植入病毒,让黑客随时搜索到个人钱包资料,把资产偷走。
妥善管理密码 勿用电子形式记录
早前投资过百件NFT艺术品的CoinUnited.io荣誉顾问李思聪认同,投资虚拟商品风险高,技术要求同样很高,惟大部分NFT投资者对技术,甚至概念未有充分了解,故令贼人有机可乘。他坦言,身边有不少朋友曾被盗取NFT资产,牵涉金额由数千至过百万元不等,其中有人曾连接公共WiFi,以手机使用加密货币钱包,结果钱包密码被窃取,其虚拟资产同被洗劫一空。
为了进一步保护个人钱包,资讯保安专家认为,投资者须妥善管理电子钱包的密码。范健文建议,用户不要用任何电子形式记录助字词,相反以离线方式记下,例如纸笔等,并强调不要将手写的助字词用相机拍下,再暂存在手机或电脑上,做法形同虚设。趋势科技香港及澳门区顾问总监李浩然则认为,除了采用双重认证、设定较长的密码,亦可通过密码管理软件,降低密码外泄风险。在拣选交易平台时,他亦建议用户采用有手续费的平台,「通常会有较好的服务,保安机制会做得好一些。」
多个冷钱包储NFT分散风险
近年愈来愈多投资者开始将虚拟资产分散,储存于热钱包及冷钱包中,以减低数码资产失窃的风险。范健文解释,热钱包为线上平台推出的储存服务,类似电子银行户口,冷钱包则是外置储存装置,类似私人夹万,后者的储存资产做法较安全。李思聪认同,选用多于一个冷钱包储存NFT等数码资产,可避免所有资产一并被盗窃,「如同开设多个银行户口,分散风险。」惟侯嘉俊认为,冷钱包也有其限制,如装置遗失、损毁等,亦非百分百安全。
加密货币技术新颖,加上去中心化及跨地域的特质,令其不受单一国家监管。在本港,目前大部分虚拟资产交易平台,不受监管机构监管,若平台出现问题,投资者往往难以追讨损失。李浩然直言,现时只能靠交易平台自设保安系统,确保交易安全,「如果是银行服务,在监管下需要定期更新伺服器,或有其他政策。」
李浩然指出,如交易平台租用的伺服器欠安全,便可能出现漏洞,例如近两年已有多个平台的「夹万」主钥匙(Master Key)被黑客偷取,亦有个别平台突然关闭,用户的资产全被夺走,反映当中的保安风险不容忽视。侯嘉俊亦坦言,网络保安公司也不能百分百保证个别公司的安全,目前只能不断提升保安设防,降低被攻击风险。
记者 陈家荣 林紫晴
原文刊《星岛日报》「每日杂志」
最新回应