NFT資產易被竊 亂用WiFi損失過百萬 專家解構保安漏洞 宜分散離綫儲存
2021-11-25 03:39
非同質化代幣(Non-fungible token,簡稱NFT)近年大行其道,相關的「加密藝術」價值絕不亞於實體藝術品,開價高達數百萬元,甚至億元計,吸引大批投資者及收藏家,不法之徒也同樣對NFT藝術品虎視眈眈。熟悉NFT投資的業界認為,NFT概念新穎但風險高,非人人可掌握,曾有人不慎將加密貨幣錢包密碼外泄,被黑客入侵錢包,損失百萬計資產,至今仍未能追討。多名網絡安全專家建議,NFT收藏家須提高網絡安全意識,除了妥善管理錢包密碼,亦應使用離線裝置儲存資產,以減低NFT資產被盜竊的風險。
近年全球掀起「加密藝術」熱潮,本地不少名人、導演、藝術家都順勢推出NFT作品,漸漸引起本地市場對NFT的關注。香港資訊科技商會副主席、UDomain行政總裁范健文指,NFT商品近年備受投資者推崇,正因它有價有市,故此亦吸引不少黑客,「NFT不像過往實體藝術品,被偷走有一定難度。」
具不可替代特性的NFT,與比特幣、以太坊、狗狗幣等加密貨幣,同樣收納在電子錢包中。要存取電子錢包中的NFT,必須利用密碼才能打開,換言之,當錢包密碼或助字詞(Seed Phrase)外泄,即類似個人銀行戶口密碼被公開,令事主錢包內的NFT藝術品及加密貨幣有機會被一併偷走。翻查報道,本港今年至少有兩宗NFT失竊案,兩名受害人的虛擬資產戶口內,多幅NFT藝術品及加密貨幣失竊,總值逾400萬元。警方調查後相信,被盜原因與釣魚網站及使用免費WiFi有關。
釣魚網攻擊 植入病毒偷資產
范健文分析指,NFT常見的失竊或詐騙案主要分兩類,包括誤將助字詞交予他人、誤上假冒加密貨幣交易平台。他解釋,NFT藝術品多在Twitter、Telegram等社交平台推廣,一些對加密貨幣或NFT不了解的人較易受騙,招致損失,「只要示意想交易,自然有很多人會私訊你,向你徵求助字詞。」他續指,一些假平台的網站域名,與真平台非常相似,「可能是O與0的出入,讓使用者難以察覺」,情況與早年假冒銀行的釣魚網站類似。
Check Point香港及台灣技術總監侯嘉俊直言,絕大部分NFT騙案涉及釣魚攻擊,黑客毋須擁有高超技術,只要吸引到人點擊連結便可。他特別提到,縱然大眾慣用手機,但對手機的保安意識低,安裝防毒軟件比例很少,當市民在社交媒體或通訊軟件中,不慎點擊釣魚網站連結後,便可植入病毒,讓黑客隨時搜索到個人錢包資料,把資產偷走。
妥善管理密碼 勿用電子形式記錄
早前投資過百件NFT藝術品的CoinUnited.io榮譽顧問李思聰認同,投資虛擬商品風險高,技術要求同樣很高,惟大部分NFT投資者對技術,甚至概念未有充分了解,故令賊人有機可乘。他坦言,身邊有不少朋友曾被盜取NFT資產,牽涉金額由數千至過百萬元不等,其中有人曾連接公共WiFi,以手機使用加密貨幣錢包,結果錢包密碼被竊取,其虛擬資產同被洗劫一空。
為了進一步保護個人錢包,資訊保安專家認為,投資者須妥善管理電子錢包的密碼。范健文建議,用戶不要用任何電子形式記錄助字詞,相反以離線方式記下,例如紙筆等,並強調不要將手寫的助字詞用相機拍下,再暫存在手機或電腦上,做法形同虛設。趨勢科技香港及澳門區顧問總監李浩然則認為,除了採用雙重認證、設定較長的密碼,亦可通過密碼管理軟件,降低密碼外泄風險。在揀選交易平台時,他亦建議用戶採用有手續費的平台,「通常會有較好的服務,保安機制會做得好一些。」
多個冷錢包儲NFT分散風險
近年愈來愈多投資者開始將虛擬資產分散,儲存於熱錢包及冷錢包中,以減低數碼資產失竊的風險。范健文解釋,熱錢包為線上平台推出的儲存服務,類似電子銀行戶口,冷錢包則是外置儲存裝置,類似私人夾萬,後者的儲存資產做法較安全。李思聰認同,選用多於一個冷錢包儲存NFT等數碼資產,可避免所有資產一併被盜竊,「如同開設多個銀行戶口,分散風險。」惟侯嘉俊認為,冷錢包也有其限制,如裝置遺失、損毀等,亦非百分百安全。
加密貨幣技術新穎,加上去中心化及跨地域的特質,令其不受單一國家監管。在本港,目前大部分虛擬資產交易平台,不受監管機構監管,若平台出現問題,投資者往往難以追討損失。李浩然直言,現時只能靠交易平台自設保安系統,確保交易安全,「如果是銀行服務,在監管下需要定期更新伺服器,或有其他政策。」
李浩然指出,如交易平台租用的伺服器欠安全,便可能出現漏洞,例如近兩年已有多個平台的「夾萬」主鑰匙(Master Key)被黑客偷取,亦有個別平台突然關閉,用戶的資產全被奪走,反映當中的保安風險不容忽視。侯嘉俊亦坦言,網絡保安公司也不能百分百保證個別公司的安全,目前只能不斷提升保安設防,降低被攻擊風險。
記者 陳家榮 林紫晴
原文刊《星島日報》「每日雜誌」
最新回應