NFT 非同質化代幣火熱,價值持續攀升及相關市場不斷擴張,因而成為不法分子新獵物。對於 NFT 資產交易和儲存的保安風險,香港生產力促進局轄下的香港電腦保安事故協調中心( HKCERT )有多項保護建議,值得參考。
風險 | 保安建議 |
黑客模仿 NFT 平台推廣手法,以免費名義發放假 NFT 資產,藉此誘騙受害人提供敏感資料。 | 小心核實發送人的身份及連結,切勿向來歷不明的人士及網站提供敏感資料。 |
1. 黑客設置 NFT 釣魚網站,讓使用者誤以為真,提供帳戶密碼; 2. 利用交易平台的保安漏洞入侵用戶帳戶,把用戶的資產轉走。 | 1. 使用瀏覽器標籤功能儲存 NFT 平台網址; 2. 啟用多重身分驗證; 3. 啟用白名單轉資產功能,防止黑客提走帳戶資產; 4. 使用官方提供的工具,如官方 APP; 5. 避免把所有資產放在同一交易所或密碼貨幣錢包,以減低風險。 |
HKCERT 又提醒,在開始進行 NFT 交易前,要考慮如何安全地儲存 NFT 資產。跟其他類型的虛擬貨幣一樣,用戶可選擇以連線錢包(熱錢包)或離線錢包(冷錢包)儲存,也可以混合使用這兩種錢包。不同類型的錢包在功能上都有優劣之處,大家可按各自的需要選擇。錢包包含至少一對使用者公鑰及私鑰,其中私鑰更載有提取資產地址的資訊,尤其重要。
連線錢包(熱錢包) | 離線錢包(冷錢包) | |
性質 | 連接至網絡的虛擬錢包 • 交易所錢包:把 NFT 資產及虛擬貨幣存放於交易所帳戶,由交易所將 NFT 資產及虛擬貨幣統一儲存於同一個熱錢包; • 桌面/流動錢包:一套網絡或流動應用程式,當用戶以桌面或流動設備建立錢包時,會把私鑰儲存至程式。 | 未連接網絡的虛擬錢包,將私鑰存儲在離線狀態 • 硬件錢包:例如 USB 存儲裝置,存儲 NFT 資產及虛擬貨幣的私鑰; • 其他:把私鑰印製在紙上或用記憶力記下來,例如以 QR 碼印出加密地址及其私鑰。 |
好處 | 方便 | 安全性較高 |
風險 | 網絡攻擊,如黑客入侵或資料洩漏 | 遺失、存儲裝置失靈、損毀或忘記 |
保安建議 | • 備份錢包,並設置密碼保護。同時不要公開恢復密碼的提示短語。有關具體的備份方法,請參考該錢包的相關指引。 • 經常更新錢包軟件,因較新的軟件通常解決了已發現的保安問題或優化了保安機制。 • 定期檢查存儲裝置功能。 |