加密錢包資安|NFT投資者分享三層錢包結構,6529示範鑄造、快照標準操作

Jim
分享
加密錢包資安|NFT投資者分享三層錢包結構,6529示範鑄造、快照標準操作

近期 DeFiance Capital 創辦人因誤擊釣魚文檔導致錢包內大量 NFT、加密貨幣遭竊,NFT 投資者 ycxc 對此也感到心痛,他分享了個人防範守則,給予想要提升安全級別的投資者參考;知名 NFT 蒐藏家 6529 也給出自己的幾項建議。

ycxc:https://twitter.com/ycxc_6senseth/status/1506300739232190471?s=21

6529:https://twitter.com/punk6529/status/1506626244284231681?s=21

廣告 - 內文未完請往下捲動

1、多錢包結構

ycxc 認為擁有一個硬體冷錢包是不錯選擇,但多數人把冷錢包作為主要錢包他也認為不對,他個人執行的是三層錢包系統:

  • 第一層:熱錢包 MetaMask
  • 第二層:硬體錢包 (介於冷熱之間)
  • 第三層:硬體錢包 (保險庫)

第一層:熱錢包 MetaMask

進行所有日常活動的錢包,包括與網站互動、買賣、鑄造,確保 MetaMask 中的總價值 (美元、NFT) 永遠不會超過你能承擔的量體。有空時盡量將美元、NFT 轉出,這是一個假設隨時都可能失去一切的錢包。

第三層:硬體錢包 (保險庫)

銜接第一層,這是用戶持有美元、高價 NFT 的錢包,除了從受信任錢包接收/發送資產外什麼也不做。為了更高安全級別,ycxc 也不會用第三層錢包與公共地址互動,最好是準備多個第三層錢包,他推薦硬體錢包 Ledger。

第二層:介於冷熱之間的硬體錢包

這是因為某些專案/網站會需要用戶持有特定 NFT 以進行鑄造、等待快照等操作,ycxc 不想在第一層的熱錢包持有高價 NFT,但也不想動用第三層的保險庫錢包,因此有了這個第二層錢包。但這也僅限於受信任網站/專案,閒置時仍要將 NFT 轉至保險庫錢包。

2、合約互動需謹慎

使用第一、第二層錢包時會與專案的智能合約互動,且需簽署授權,讓平台能代為操作代幣,例如在 OpenSea 以 WETH 出價時,所簽署的合約即是授權平台轉移代幣,OpenSea 會依程序進行,但投資者不能相信所有網站都是如此。

詐騙團隊與駭客深諳此道,看似正常的合約可能賦予駭客轉移所有資產的權限,也因此惡意連結在網路釣魚、私訊、Email 中很常見。

3、幣圈安全守則

助記詞

別將助記詞儲存在任何連網設備上,無論是打字或照片,潛伏在連網設備的惡意軟體正搜索著助記詞,一旦檢測到隨即能訪問錢包、資產。

也別在電腦中輸入硬體冷錢包的助記詞,這只會把冷錢包變成了熱錢包。

別使用手機版 MetaMask

ycxc 自己並不確定這是否安全,但手機平常連結到太多隨機的公用 WiFi、網站、文件,有可能導致錢包遭駭。

撤銷授權 (Revoke)

簽署惡意合約的操作仍紀錄在區塊鏈上,用戶能檢查曾經授權的合約並予以撤銷,ycxc 表示自己每天,或當他感覺自己簽了可疑的合約時都會執行一次。他推薦兩個能撤銷授權的網站:

需留意的是,假設以一個 Ledger (相同助記詞) 創建了第二、第三層錢包,而第二層錢包某日簽署了惡意合約,那麼僅第二層錢包會遭竊,但若是助記詞流出,則駭客能同時訪問二、三層錢包。

6529:你需要冷錢包

6529 感嘆道:

每次我發文說:「去買個冷錢包」時,有十個人會回我說:「這不能保護你免於簽署惡意的合約授權。」沒錯,但冷錢包的目的是保護你免於你電腦上正運行的惡意軟體,而不是你自己的失誤。

為了避免失誤,6529 建議:

  • 別在 Discord 上找到的未知網站簽署合約。
  • 如果一定要簽署,用一個沒有放很多 NFT 的錢包去操作。

他提到,自己當初是把突變猿的 mintpass (NFT) 移到一個空地址再進行鑄造,鑄造 Quantum NFT 的時候也是如此。

此外他認為無論是快照、空投、mintpass 都是很不安全的作法,各大專案應避免此類操作。他在文末透露,自己因安全起見,持有數個冷錢包外加數十個熱錢包。