知名的 NFT KOL 與內容創作者 NFT God 於 14 日表示:

我的電腦被駭了,我所有的加密貨幣跟 NFT 都被偷了。

事情是如何發生的?又該如何防範?

NFT God 下載遊戲後:數位資產、NFT 與所有帳號全被駭

NFT God 表示自己的所有數位生活都被侵害了,不僅是他的數位資產,包含他所有私人與工作的帳號都被入侵 ( Twitter, Substack, Gmail, Discord),也被用來傷害別人。

這一切是怎麼開始的呢?

他表示,他下載了 OBS 到桌上型電腦。OBS 是一種影像串流軟體,NFT God 當時是想拿來做遊戲直播,不料卻未注意自己按到了 Google 上的贊助連結

當他按下執行檔 (exe.) 之後,玩了幾個小時的遊戲,什麼事都沒發生。直到朋友告訴他「你的推特帳號被駭了!」。他表示,自己緊急在駭客發出詐騙貼文後的兩分鐘將貼文刪除。

不過,事情沒有這麼簡單。

不久之後,又有人告訴他「你的無聊猿怎麼了?」這時大事才真正不妙。

NFT God 的 OpenSea 頁面顯示,他的無聊猿持有者已經換成了別的錢包。所有的數位資產跟 NFT 全部都被轉走了。

「我知道這只是個開端。不只是錢包被害。我的整個數位生活全都被攻擊了。」

他衝向電腦,刪除一切密碼,刪除所有資料並重灌 Windows 系統。

由於 NFT God 有發行電子報,駭客已向發送郵件給他的 16,000 名 Substack 訂閱者。他表示自己失去的不僅是有價的數位資產,最讓他心痛的是無價的品牌與社群信任。

有冷錢包也被盜?NFT God:設定錯誤

NFT God 表示自己有 Ledger 冷錢包,但犯下關鍵錯誤。「我把它像熱錢包一樣的設定了。」

他輸入註記詞的方式搞砸了一切,讓冷錢包不再是冷儲存裝置。

「我的錢包沒有簽署 (sign) 任何東西,也沒有參與任何惡意鑄造 (mint)。」NFT God 解釋。

資安公司慢霧 (SlowMist) 創辦人 Cos (余弦) 評論,這是因為註記詞在 NFT God 的電腦連結到網路了,才導致惡意軟體有機可趁。他建議:

「定期檢視自己的私鑰/助記詞,如果曾經接觸過網路 (或除你之外,其他你認為可信的人也掌握過),可以極端地假設私鑰/助記詞洩露了。另外,還需要檢視錢包的授權情況。」

「數位安全不僅僅是買一個冷錢包。你在網路上做的任何事情也必須非常小心」NFT God 說道。

他表示,自己將學會放下、往前看,保持正向並不讓負面打倒他。「至少我還有健康、家人,以及支持我的朋友。」

慢霧創辦人:MetaMask 曾披露類似漏洞

MetaMask 在 2022 年六月曾公告,在電腦版選取「顯示助記詞」,來載入錢包的話,會讓助記詞被暫緩儲存在電腦硬碟中,讓電腦在遭到入侵時,可能會洩露助記詞。(但手機版 MetaMeak 不受影響)

慢霧創辦人 Cos (余弦) 表示:「這種暴露明文助記詞的安全風險我們也發現過幾次,特別是在無視錢包密碼的前提下,成功拿到目標用戶錢包的明文助記詞或私鑰。」

MetaMask 則是提供了三個防範方式:

  • 幫電腦硬碟啟動全面加密,這是確保無法物理性取得電腦內容的唯一方法。(教學)

  • 清除瀏覽器緩存數據

  • 記住保護電腦裝置安全是你的責任,如果操作系統受到威脅,什麼錢包跟軟體都無法保障安全。必須學會如何避免在電腦上安裝病毒。

慢霧創辦人 Cos (余弦) 曾表示:

「Web3 最關鍵的兩大安全問題:key,指私鑰、sign,指簽名。在提升用戶體驗的前提下,能解決圍繞這兩個的安全問題,那麼這個應用就是非常成功的入口級應用。千萬不要只帶 Web2 的思維來做這個應用,因為我看到的許多 Web2 思維裡都嚴重缺失了安全設計。」

這篇文章 知名KOL「NFT God」用冷錢包仍慘遭盜光,慢霧創辦人提醒:定期檢視私鑰與註記詞 最早出現於 鏈新聞 ABMedia。