黑客开始瞄准 NFT，这份防盗入门指南请收好

随着 NFT 用户数、交易量和市值的不断攀升，钓鱼者、黑客等不法分子也开始瞄准这个市场，进一步威胁 NFT 生态的安全。
区块链安全和数据分析公司 PeckShield 编写的表格显示，在一次钓鱼攻击中，254 个总价值约为 170 万美元的 NFT 遭到盗窃；愚人节当天周杰伦的 NFT BAYC#3738 被盗走，该事件是典型的由钓鱼网站诱导 mint 从而获得用户 NFT 操作权的案例；一个名为 MoonManNFT 的项目，该项目借由 free mint 的名头，盗走了近 400 个 NFT……
一般来说，黑客会通过 Discord 和 Telegram 锁定收藏者，并通过诱导 mint、钓鱼攻击等方式盗走用户的 NFT 资产。随着当下技术发展，NFT 投资者和收藏者必须及时了解保护资产的最新方法。
NFT 安全存储基本知识
请牢记：

• 你的 NFT 并非储存在电脑或移动设备上，而是在 IPFS 或 Arweave 这样的去中心化空间。
• 拥有私钥，就有了对区块链 / 你的资产的完全访问权限。
• Shamir 私钥分割方案能为助记词提供二级保护。

1. 你的 NFT 储存在哪里？
NFT 并非储存在冷钱包、PC 端或热钱包中。NFT 是位于以太坊区块链上的代币，由全球 2400 多个运行中的网络节点承载。NFT 受到完全去中心化系统的支持，它能确保 NFT 生态正常运转，也能够验证线上交易。当你进行 NFT 交易时，实际发生的活动是数据库对该 NFT 的地址进行更改。
2. 你的图片、动图和音乐在哪里？
NFT 的 URI（统一资源标识符）标记了图片的位置。NFT 一般位于像 IPFS 或 Arweave 等去中心化存储空间。在 Web2 中，也有 AWS 这样的中心化存储器。
3. 钱包
钱包是一个储存私钥的软件，能够支持交易活动。钱包分为两种：热钱包（软件钱包）和冷钱包（硬件钱包）。
热钱包（软件钱包）：能够在通用设备上运行的软件，能 Web3 连接，只需点击鼠标就能接收资产。
冷钱包（硬件钱包）：专用于硬件设备，能与 Web3 连接并接收资产。它与热钱包的主要区别是，冷钱包的助记词从不联网，若要进行交易，必须通过物理手段（比如触摸屏）批准。
选择了合适的钱包后，你需要了解它的功能：
首先，热钱包 / 冷钱包会要求你创建一个密码，此密码在特定设备上是唯一的。只有知道密码，才能访问钱包。
你可以自由分享钱包的公共地址，此地址与 Web3 的电子邮件地址没有区别，知道了你的地址，任何人都能向你发送 NFT。这也就催生了新的黑客攻击载体。黑客会向人们发送 NFT，当人们与该 NFT 互动时（比如将其发送至另一钱包，或出售它），黑客就会窃取此人钱包中的资产。请谨记，不要点开陌生 NFT！此外，人们也会利用流氓签名或批准来获取你的 IP 地址。
钓鱼邮件也是寻常的诈骗方式。邮件的目的是引诱你把钱包连接到虚假网站，以便黑客窃取资产。所以，千万不要点开陌生链接！务必时时检查网站名称。目前黑客攻击的方法比较单一，只能从公共地址和电子邮件下手，只要不理会它们就可以了。
你要保管好私钥，它是访问你的公共地址的密码，私钥的功能有：
（1）将你的 NFT 移出地址。
（2）签署合同，来证明你拥有该地址的私钥（类似于验证你拥有该公共地址）。
公共地址和私钥最大的区别是，你永远也不能向任何人透露自己的私钥。否则，他们就能把你的私钥导入他们的钱包，窃取你所有的资产。
明确了私钥和公共地址的概念，我们再来看一下助记词。助记词一般由 12、18 或 24 个单词构成，用于找回钱包。如果丢失私钥，你可以使用助记词新建一个。与私钥一样，助记词永远不能被第二个人知道，也不能存储在电子存储设备或服务商中（比如 google drive、icloud、相簿、手机便签和副本）。最理想的方式是物理存储，比如写在纸上。有人也使用铁制品存储助记词，因为它更加防火。其他方式，例如口令，也能增加钱包安全性。口令是一串符号或单词，将其与助记词结合，就能在原有钱包的基础上创建新钱包。打个比方，若要在原有钱包的基础上创建新的钱包，只需输入：

• 助记词 + 「NFTGo」
• 助记词 + 任意数字
• 助记词 + 任意字母
• 助记词 + 任意短语

上述任一方式都能创建一个具有不同私钥公共地址的新钱包，但口令这一功能只对冷钱包适用。
4. 添加第二层保护
购买冷钱包是提升安全性的有效途径。Trezor，Ledger 和 Keystone 是几款最受欢迎的硬件钱包，但各自有优势和不足。每种冷钱包都有其特色。比如 Keystone 使用二维码进行数据传输，避免了木马病毒通过 USB 接口或者蓝牙被传输到硬件钱包的风险，同时也是首个支持 ENS (Ethereum Name Service) 的硬件钱包，免去了核对原始地址的麻烦。此外，用户可以用 NFT 自定义其 4 英寸的屏幕。
我们以 Keystone 为例进行设置。
（1）从官方网站购买 Keystone 钱包。
（2）安装 Keystone 套件。
（3）启动 Keystone。
（4）设置你钱包的 PIN—— 专属于此设备的口令。
（5）如果是企业使用的话，推荐使用 Shamir 私钥分割方案，把 2 组助记词分成 3 组，或把 3 组助记词分成 5 组，你可以把这 3 组私钥保存在不同地方。如果你有 5 个 Shamir 备份中的 3 个并且丢失了其中 2 个，你仍然可以使用剩余的 3 个备份来恢复您的钱包。
我们以转移一个 BAYC 为例具体来看 NFT 硬件钱包的使用。在 Keystone 中，用户可以使用 microSD 卡中上传的 ABI 数据文件快速确认地址的真实性，地址旁边会出现蓝色字体的「Board Ape Yacht club」，还需要确认该交易是否涉及任何恶意行为，以免将您的 NFT 签署给诈骗者或黑客。

避免 NFT 诈骗的方法
1. 务必从官网下载 Web3 app 或钱包
导致加密 / NFT 黑客攻击的主要原因是用户对非官方网站的访问。绝大多数此类网站是为了行骗而建立，看上去与官方网站极其相似。不要从 Google Play 下载 Web3 app，它们可能不是从原始渠道获取的。你可以参考以下建议，来鉴别官方网站：
（1）关注网址栏。只点击以 https:// 开头的网址（不要点 http://！），「s」代表「安全」，表示该网站的数据是加密传输的，能阻止黑客攻击。
（2）检查域名。黑客最青睐的伎俩就是创建山寨网站，其域名与正版网站十分相似，只有双击才能察觉区别。例如，https://wobble.com 这个网站的山寨版可以是 https://w0oble.com。请记得时时双击域名的所有字母。
（3）留心拼写错误。多数虚假网站是粗糙赶工而成，拼写、读音、大小写和语法都会出错。
2. 只浏览官方频道、官方推特和官方链接
前面提到，你只能相信官方网站、推特账号和 discord。你可以参考下列建议来验证：
（1）检查账户活动。
（2）检查粉丝数。
（3）检查账户历史。
（4）检查评论和参与度。
3. 不要与任何人共享登陆凭证或私钥
有句话在加密圈十分流行：「无钥即无币，币钥为一体」。一旦你的私钥或助记词被分享出去，这个账户就再也不属于你了。最好的做法，是不让其他人拿到私钥。
4. 先验证 NFT 再购买
在 NFT 生态系统中，尽职调查总是非常重要。购买或铸造 NFT 之前，务必要检查项目涉及到的团队的声誉，其社区中的有机互动，以及人们对该项目的看法。
5. 使用多个钱包铸造 NFT
比如，Burner 钱包是专为 NFT 铸造创造的二级钱包。这些钱包都是以铸币所需的 gas 数额来创建并注资。铸币完成后，铸成的 NFT 被发送到另一个钱包，它的作用是存储 NFT。这就减少了主钱包与易被攻击网站互动的风险。你可以创建多个 burner 钱包，一旦发现漏洞，就立即丢弃它。
6. 谨慎点击陌生账户的链接
黑客的常见骗术，是通过陌生的 Discord 账户或冷邮件发送赠品或白名单链接。务必将 Telegram、Discord 和邮件设置为不接收陌生账户或非官方地址的消息，也请提防用户假扮群主或官方 DM 你。
7. 检查令牌批准 & 撤销不使用的令牌
人们每天都与不同的协议和链接互动，基于智能合约上的信息给予其访问权限和许可。时常审查和撤销访问权限十分重要。https://revoke.cash/ 网站可以帮您取消访问权。
8. 进行下一步之前，仔细阅读并核实智能合约的交易条款
确认交易前，务必确保自己认真阅读了智能合约中的每个细节。很多黑客利用智能合约骗取许可，从而随意访问你钱包中的资金。你要认真阅读，确保合约中的细节不会构成威胁，也不是存在漏洞。
9. 紧跟新闻，了解新漏洞
结语
人们对 NFT 市场的兴趣日益增加，不法分子也潜伏其中，利用伎俩从收藏者和投资者手中偷取作品和资金，请确保自己的宝贵资产、钱包和资金不落入黑客手中。