知名的 NFT KOL 与内容创作者 NFT God 于 14 日表示:
我的电脑被骇了,我所有的加密货币跟 NFT 都被偷了。
事情是如何发生的?又该如何防范?
NFT God 下载游戏后:数位资产、NFT 与所有帐号全被骇
NFT God 表示自己的所有数位生活都被侵害了,不仅是他的数位资产,包含他所有私人与工作的帐号都被入侵 ( Twitter, Substack, Gmail, Discord),也被用来伤害别人。
这一切是怎么开始的呢?
他表示,他下载了 OBS 到桌上型电脑。OBS 是一种影像串流软体,NFT God 当时是想拿来做游戏直播,不料却未注意自己按到了 Google 上的赞助连结。
当他按下执行档 (exe.) 之后,玩了几个小时的游戏,什么事都没发生。直到朋友告诉他「你的推特帐号被骇了!」。他表示,自己紧急在骇客发出诈骗贴文后的两分钟将贴文删除。
不过,事情没有这么简单。
不久之后,又有人告诉他「你的无聊猿怎么了?」这时大事才真正不妙。
NFT God 的 OpenSea 页面显示,他的无聊猿持有者已经换成了别的钱包。所有的数位资产跟 NFT 全部都被转走了。
「我知道这只是个开端。不只是钱包被害。我的整个数位生活全都被攻击了。」
他冲向电脑,删除一切密码,删除所有资料并重灌 Windows 系统。
由于 NFT God 有发行电子报,骇客已向发送邮件给他的 16,000 名 Substack 订阅者。他表示自己失去的不仅是有价的数位资产,最让他心痛的是无价的品牌与社群信任。
有冷钱包也被盗?NFT God:设定错误
NFT God 表示自己有 Ledger 冷钱包,但犯下关键错误。「我把它像热钱包一样的设定了。」
他输入注记词的方式搞砸了一切,让冷钱包不再是冷储存装置。
「我的钱包没有签署 (sign) 任何东西,也没有参与任何恶意铸造 (mint)。」NFT God 解释。
资安公司慢雾 (SlowMist) 创办人 Cos (余弦) 评论,这是因为注记词在 NFT God 的电脑连结到网路了,才导致恶意软体有机可趁。他建议:
「定期检视自己的私钥/助记词,如果曾经接触过网路 (或除你之外,其他你认为可信的人也掌握过),可以极端地假设私钥/助记词泄露了。另外,还需要检视钱包的授权情况。」
「数位安全不仅仅是买一个冷钱包。你在网路上做的任何事情也必须非常小心」NFT God 说道。
他表示,自己将学会放下、往前看,保持正向并不让负面打倒他。「至少我还有健康、家人,以及支持我的朋友。」
慢雾创办人:MetaMask 曾披露类似漏洞
MetaMask 在 2022 年六月曾公告,在电脑版选取「显示助记词」,来载入钱包的话,会让助记词被暂缓储存在电脑硬碟中,让电脑在遭到入侵时,可能会泄露助记词。(但手机版 MetaMeak 不受影响)
慢雾创办人 Cos (余弦) 表示:「这种暴露明文助记词的安全风险我们也发现过几次,特别是在无视钱包密码的前提下,成功拿到目标用户钱包的明文助记词或私钥。」
MetaMask 则是提供了三个防范方式:
- 帮电脑硬碟启动全面加密,这是确保无法物理性取得电脑内容的唯一方法。(教学)
- 清除浏览器缓存数据
- 记住保护电脑装置安全是你的责任,如果操作系统受到威胁,什么钱包跟软体都无法保障安全。必须学会如何避免在电脑上安装病毒。
慢雾创办人 Cos (余弦) 曾表示:
「Web3 最关键的两大安全问题:key,指私钥、sign,指签名。在提升用户体验的前提下,能解决围绕这两个的安全问题,那么这个应用就是非常成功的入口级应用。千万不要只带 Web2 的思维来做这个应用,因为我看到的许多 Web2 思维里都严重缺失了安全设计。」
我的电脑被骇了,我所有的加密货币跟 NFT 都被偷了。「我知道这只是个开端。不只是钱包被害。我的整个数位生活全都被攻击了。」NFT God 表示自己有 Ledger 冷钱包,但犯下关键错误。「我把它像热钱包一样的设定了。」「数位安全不仅仅是买一个冷钱包。你在网路上做的任何事情也必须非常小心」NFT God 说道。