知名KOL「NFT God」用冷錢包仍慘遭盜光，慢霧創辦人提醒：定期檢視私鑰與註記詞

知名的 NFT KOL 與內容創作者 NFT God 於 14 日表示：

我的電腦被駭了，我所有的加密貨幣跟 NFT 都被偷了。

事情是如何發生的？又該如何防範？

NFT God 下載遊戲後：數位資產、NFT 與所有帳號全被駭

NFT God 表示自己的所有數位生活都被侵害了，不僅是他的數位資產，包含他所有私人與工作的帳號都被入侵 ( Twitter, Substack, Gmail, Discord)，也被用來傷害別人。

這一切是怎麼開始的呢？

他表示，他下載了 OBS 到桌上型電腦。OBS 是一種影像串流軟體，NFT God 當時是想拿來做遊戲直播，不料卻未注意自己按到了 Google 上的贊助連結。

當他按下執行檔 (exe.) 之後，玩了幾個小時的遊戲，什麼事都沒發生。直到朋友告訴他「你的推特帳號被駭了！」。他表示，自己緊急在駭客發出詐騙貼文後的兩分鐘將貼文刪除。

不過，事情沒有這麼簡單。

不久之後，又有人告訴他「你的無聊猿怎麼了？」這時大事才真正不妙。

NFT God 的 OpenSea 頁面顯示，他的無聊猿持有者已經換成了別的錢包。所有的數位資產跟 NFT 全部都被轉走了。

「我知道這只是個開端。不只是錢包被害。我的整個數位生活全都被攻擊了。」

他衝向電腦，刪除一切密碼，刪除所有資料並重灌 Windows 系統。

由於 NFT God 有發行電子報，駭客已向發送郵件給他的 16,000 名 Substack 訂閱者。他表示自己失去的不僅是有價的數位資產，最讓他心痛的是無價的品牌與社群信任。

有冷錢包也被盜？NFT God：設定錯誤

NFT God 表示自己有 Ledger 冷錢包，但犯下關鍵錯誤。「我把它像熱錢包一樣的設定了。」

他輸入註記詞的方式搞砸了一切，讓冷錢包不再是冷儲存裝置。

「我的錢包沒有簽署 (sign) 任何東西，也沒有參與任何惡意鑄造 (mint)。」NFT God 解釋。

資安公司慢霧 (SlowMist) 創辦人 Cos (余弦) 評論，這是因為註記詞在 NFT God 的電腦連結到網路了，才導致惡意軟體有機可趁。他建議：

「定期檢視自己的私鑰/助記詞，如果曾經接觸過網路 (或除你之外，其他你認為可信的人也掌握過)，可以極端地假設私鑰/助記詞洩露了。另外，還需要檢視錢包的授權情況。」

「數位安全不僅僅是買一個冷錢包。你在網路上做的任何事情也必須非常小心」NFT God 說道。

他表示，自己將學會放下、往前看，保持正向並不讓負面打倒他。「至少我還有健康、家人，以及支持我的朋友。」

慢霧創辦人：MetaMask 曾披露類似漏洞

MetaMask 在 2022 年六月曾公告，在電腦版選取「顯示助記詞」，來載入錢包的話，會讓助記詞被暫緩儲存在電腦硬碟中，讓電腦在遭到入侵時，可能會洩露助記詞。(但手機版 MetaMeak 不受影響)

慢霧創辦人 Cos (余弦) 表示：「這種暴露明文助記詞的安全風險我們也發現過幾次，特別是在無視錢包密碼的前提下，成功拿到目標用戶錢包的明文助記詞或私鑰。」

MetaMask 則是提供了三個防範方式：

• 幫電腦硬碟啟動全面加密，這是確保無法物理性取得電腦內容的唯一方法。(教學)
• 清除瀏覽器緩存數據
• 記住保護電腦裝置安全是你的責任，如果操作系統受到威脅，什麼錢包跟軟體都無法保障安全。必須學會如何避免在電腦上安裝病毒。

慢霧創辦人 Cos (余弦) 曾表示：

「Web3 最關鍵的兩大安全問題：key，指私鑰、sign，指簽名。在提升用戶體驗的前提下，能解決圍繞這兩個的安全問題，那麼這個應用就是非常成功的入口級應用。千萬不要只帶 Web2 的思維來做這個應用，因為我看到的許多 Web2 思維裡都嚴重缺失了安全設計。」