HKCERT教大家保護NFT資產
NFT全名是「非同質化代幣」(Non-Fungible Token),是根據以太坊ERC721標準來發出的代幣,有別於其他虛擬貨幣,每一枚NFT代幣都會獲配一個獨有的數碼ID,所以不會重覆,而且交易時亦不可分割出售。隨著NFT價值持續攀升及相關市場不斷擴張,NFT成為不法分子新獵物。
對於NFT資產交易和儲存的保安風險,香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 有以下建議作參考:
風險一:黑客模仿NFT平台推廣手法,以免費名義發放假NFT資產,籍此誘騙受害人提供敏感資料。
保安建議:
小心核實發送人的身份及連結,切勿向來歷不明的人士及網站提供敏感資料。
風險二:黑客入侵使用者賬戶
- 設置NFT釣魚網站,讓使用者誤以為真,提供賬戶密碼
- 利用交易平台的保安漏洞入侵用戶賬戶,把用戶的資產轉走
保安建議:
- 使用瀏覽器標籤功能來儲存NFT平台網址
- 啟用多重身分驗證
- 啟用白名單轉資產功能,防止黑客提走賬戶資產
- 使用官方提供的工具,如官方APP
- 避免把所有資產放在同一交易所或密碼貨幣錢包,以減低風險
開始進行NFT交易前,大家要考慮如何安全地儲存NFT資產。跟其他類型的虛擬貨幣一樣,大家可選擇以連線錢包(熱錢包)或離線錢包(冷錢包) 儲存,也可以混合使用這兩種錢包。不同類型的錢包在功能上都有優劣之處,大家可按各自的需要選擇。
| 連線錢包 (熱錢包) | 離線錢包 (冷錢包) | |
| 性質 | 連接至網絡的虛擬錢包 · 交易所錢包:把NFT資產及虛擬貨幣存放於交易所賬戶,由交易所將NFT資產及虛擬貨幣統一儲存於同一個熱錢包· 桌面/流動錢包:一套網絡或流動應用程式,當用戶以桌面或流動設備建立錢包時,會把私鑰儲存至程式 | 未連接網絡的虛擬錢包,將私鑰存儲在離線狀態 · 硬體錢包:例如 USB存儲裝置,存儲NFT資產及虛擬貨幣的私鑰· 其他:把私鑰印製在紙上或用記憶力記下來,例如以 QR 碼印出加密地址及其私鑰 |
| 好處 | 方便 | 安全性較高 |
| 風險 | 網絡攻擊,如黑客入侵或資料洩漏 | 遺失、存儲裝置失靈、損毀或忘記 |
| 保安建議 | 備份錢包,並設置密碼保護。同時不要公開恢復密碼的提示短語。有關具體的備份方法,請參考該錢包的相關指引。經常更新錢包軟件,因較新的軟件通常解決了已發現的保安問題或優化了保安機制。定期檢查存儲裝置功能 |
