前言

有天本熊在OpenSea 上闲逛时，想起自己当初没有买到艺术向项目RenArt的NFT 后，便到他们的项目Discord 中看看公售两个月后的社群状况，意外发现本来热闹的社群已经冷清起来，常见的活动都消失了，只剩下持有者们不时会留下的「GM」、「GN」。虽然项目方依然有发公告，提及项目系统的开发进度，但其热闹度实在不如发售之前。

「大概会破发吧？」想着，打开了他们的OpenSea，果真如此，0.3 ETH 的发售价最终换来了0.09 ETH 的地板价，而且挂单量十分少，对于一直想要购入这个项目的本熊来说实在吸引。

现在RenArt 在OpenSea 上的情况。

于是，二话不说地入金，并在确认那些NFT 已经被挂卖了数天后，终于把地板价附近的NFT 都买起来，打算持有一张，其他则继续挂卖以回本，同时到社群上进行验证，想要成为当中等待项目继续发展的一分子。

当时的交易纪录

谁知到了晚上，本熊的Discord 中突然出现一则信息，指自己的NFT 被盗了，希望我可以把今天入手的NFT 卖回给他。同时，他亦在RenArt 群中指自己很无助，没想到几天没留意狐狸钱包，因此钱包中的NFT 早就被盗了也不知道，实在令人无奈。

后来，在计算了入金、购买及挂卖的Gas Fee 后，本熊几乎以买入价卖回给对方，并提醒对方必须要把贵重的NFT 放在冷钱包中，以免再有损失。对方认同，也承诺会在未来购入冷钱包，事情总算告一段落。

然而，上述事件其实带来了三个问题：

1. 热钱包（Hot Wallet）的安全问题；
2. 持有者对于自己资产的重视程度；
3. 购买了被盗NFT 的买家所受的伤害与责任问题。

一、热钱包的安全问题

虽然本熊不是骇客，但本熊知道对于骇客来说，要盗取如Metamask、Trust Wallet、Phantom等热钱包的资产其实可以很简单，例如：

• 经由各类型设备上的程式漏洞，盗取以截图方式纪录的钱包助记词，借此获得用户的资产。不少人认为自己的电话、电脑是属于自己的私人物品，但在骇客的眼中所有会接上互联网的仪器都是他们可检阅的物品。因此，只要热钱包所在的仪器出现程式漏洞，骇客就很容易乘虚而入，例如2022 年4 月Apple 就传出过iCloud 出现严重的保安漏洞，骇客因而获得不少以截图方式纪录下来的钱包助记词，从而盗走用户资产（相关新闻）；
• 浏览器不时会出现程式漏洞，容易导致狐狸钱包受牵连。作为现时最多人使用的Chrome 浏览器，不时就会冒出要用户更新浏览器的通知，只因不管是开发程式的技术，还是骇客的骇入技巧都日新月异。就在2022 年3 月，骇客透过了Chrome 的漏洞，使用远端连线将恶意程式码写入到用户的浏览器，以及藉由读取或写入超出缓冲记忆体，进而使浏览器崩溃，顺便盗取狐狸钱包的资产；
• 链上系统出现安全漏洞，导致用户的热钱包资产被盗。2022 年8 月，Solana 链上出现，使骇客可以从链上的多个热钱包（Phantom 、 Slope 等）中盗取用户资金，事件中至少有七千多名用户受影响；

https://twitter.com/osec_io/status/1554630842097766401?ref_src=twsrc%5Etfw经由骇入某些NFT 项目的团队成员Discord、项目Facebook、Twitter等，并经项目帐号发放信息，吸引群内成员或一般大众点击连结、确认授权，最终导致不少人遇害。十分著名的例子包括了愚人节当天，周杰伦价值超过50 万美元的无聊猿NFT 就是因而被盗；

• 假装是正常项目以欺骗人们铸造NFT，利用这个方法将有恶意的智能合约与钱包连结，借此盗取钱包资产。自从Free-mint 热潮冒起后，这个情况就经常发生，骗徒会以「Free Mint」、「快速白名单」等方法吸引用户加入他们的社群，并在公售前定期推出一些小活动让大家参与，为的就是在项目公售当天吸引大家铸造，然后盗取这些钱包中的资产；
• 更多的不明原因。2022 年5 月26 日，链新闻发了一篇文章，名为《没有结局的故事，MetaMask 用户遇骇损失41 颗以太币，苦思仍不知被骇原因》。文章指出了两个令苦主被骇的原因，例如Google 帐号被骇及下载了Google 的扩充套件，但实际上骇客用了何种方法盗取钱包资产依然是一个谜，实在叫人无法放心。

上述众多情况都说明了重要资产放在热钱包中，会有数之不尽的风险被盗，这亦令NFT 圈子变得危机重重。面对着现实上的工作问题、Web 2.0 的社交问题、Web 3.0 的资讯爆炸，背后竟然还要顾及自己的虚拟钱包资产的资安问题，利用检视智能合约、关闭Discord 的私讯及加好友功能、对别人提供的连结及资讯提高警觉等，实在令人疲于奔命。

二、持有者对于自己资产的重视程度

熊市来到，币价从USD 3,000 以上跌至USD 1,000 也试过，不少在牛市加入的新人眼见自己购入的虚拟货币从高处跌至低处，都引发了一种名为「无眼睇」的人性现象，即「不想看了」的意思，更甚是「不如一枪打死我」。

这个现象最终导致的，就是人们会倾向回避所有会令自己忆起惨痛经历的事物，当中就包括了NFT、虚拟货币等资产，而虚拟钱包，尤其是热钱包中的资产就是代表物。

结果，这些持有者往往会因为太久没有检视自己的虚拟钱包，导致钱包内的资产被盗了很几天后，才发现到自己被盗了的事实。这件事最终会引致一连串的问题发生，包括值钱的NFT 有可能已在期间被多次转卖、被盗走的资金已被骇客经由在多个钱包中转移或移出资产本来所在的链，令本来就难以追查的资产下落变得更加无法被追踪等。

本熊没有认为这些受害者是因为不重视自己资产而出事的。相反地，他们正是十分重视自己的资产，导致眼见的损失成为了心理阴影，从而换来了更大的损失。

事实上，当一个人蚀钱时，不想去面对算是人之常情，但被这种自己无法控制的事情影响心情，导致后来更糟糕的结果，一定是更差劲的结果。因此，本熊还是建议要不就把资产放在更加可靠的地方，如冷钱包，要不就勤加检查资产的安全，包括定期利用Revoke、Etherscan Token Approval等网站，将一些不必要的智能合约从自己的虚拟钱包中撤销。

三、购买了被盗NFT 的买家所受的伤害与责任问题

在OpenSea 的海量交易和项目中闲逛时，如果看到了便宜且喜欢的NFT，想要购买或即时入手算是正常反应，谁知几天后，以为捡到便宜的NFT 突然出现了警告标示，这时候买家才发现到原来自己买到的NFT 是赃物。

2022 年1 月，一名著名的外国摄影师MarcoGrassi.eth就曾经在OpenSea 上以1.5 ETH 买入一张名为「alien fren #7085」的NFT，并在几小时后将它以2.9 ETH 转售。然而，没想到购入不久后他就收到OpenSea 的官方通知，指他购入的NFT 是赃物，并冻结这个NFT 的交易。

MarcoGrassi.eth 知道后感到不满，于是在Twitter 上寻求大家的支持和关注，让事件被公诸于世。他认为，OpenSea 的做法其实是在惩罚买到赃物的无辜买家，并且对原本的受害者毫无好处，甚至令受害人数从一人增至两人。对他而言，他所花费的1.5 ETH 因而被冻结，而真正犯人则拿着他的资产逃之夭夭。

https://twitter.com/MarcoGrassi_/status/1478872167328751618

在这个情况之下，又有谁可以保障到这些买家的权益？谁知道那个被低价出售的NFT，是因为被盗而被转卖，还是持有者急需用钱而低价出售？在不知情的情况下买到赃物时，买家又到底有没有责任？不要忘记，即使受害者举报了也需要时间给平台处理和认证，而在这段「等待」期间，对于网络活动十分迅速的Web 3.0 世界来说，已经有机会令无数的人们变成受害者或「共犯」。

本熊想，应该没有人希望自己在NFT 世界中购物，最终却踏进了俄罗斯轮盘的戏码里吧？

诸多问题的解决方法：冷钱包

虽然现时并没有一个解决方法可以十全十美地，让自己的虚拟资产放置在安全的地方中，情况就跟人们把财产放到了银行里，都有可能因为金融问题而变成负资产一样。但是，我们可以从一大堆的问题中，找出最没可能或最少可能发生的问题，使自己的资产可以在90％ 以上的安全地方待着。

因此，冷钱包成为了不少人会选择的、安放虚拟资产的首选目标。

事实上，上文中不断地被提及的「热钱包」，指的是把资产放在「线上平台」，即必须连接互联网才能够使用的虚拟钱包，而「冷钱包」则是相反，用户可以把资产储放到不需要连接网络的实体装置，如USB、卡片式钱包等，并确保这些资产被使用、转移时，都必须经由自己手上的实体装置进行认证，情况就跟人们会把资产存放在夹万（保险箱）一样。

由于骇客的行动十分频繁，因此现在市面上亦愈来愈多专业团队，加入了开发冷钱包的行列，目的就是让NFT 用家的资产能被保障。

本熊的SecuX Nifty 冷钱包，是跟NFT 项目Teahouse HighTable 合作的版本，与CoolWallet 的卡式钱包一样帅气。

除了由法国制造的知名冷钱包品牌Ledger 之外，还有被称为十分适合项目方使用的Trezor、价格比较便宜并由美国制造的KeepKey，以及由台湾制造的超帅气卡片式冷钱包CoolWallet和以保护NFT 为主的萤幕显示式冷钱包SecuX Nifty等，都开始因骇客问题，而得以在圈内急速发展起来。

虽然本熊无法100% 指大家的资产放入冷钱包内就必定安全，但即使是今年8 月时的Solana 链事件，都没有任何迹象指出被安放在冷钱包中的资产受到影响，可见冷钱包在保护用户资产一事上，确实发挥着一定的作用。

再来分享本熊保护自己资产的方法：数个热钱包，两个冷钱包。

1. 热钱包主要是用来铸造新项目或在OpenSea、X2Y2 等二手平台上进行交易时使用的。
2. 而之所以会有两个冷钱包，因为第一个冷钱包会作为热钱包与冷钱包的桥梁被使用，例如有部分NFT 价值0.5 ETH 或以上，却因为NFT 包含了一些赋能，需要连接网络时才能够使用，如通行证类型的NFT，因此本熊会选择把有这种需要的NFT 都放在里头；
3. 第二个冷钱包则属于纯收藏用途。本熊会把一些十分贵重或绝不会转售的NFT 放入这个冷钱包中，并定期透过电话App 或网络上的链上资料，检视里面的资产是否安好。

如此一来，本熊的珍贵资产就被安放在长期不会连接网络的冷钱包中，而重要却又要连接网络的NFT 亦受到冷钱包的一定保障，这导致本熊虽然不时会遭遇撞见诈骗事件，但自己的虚拟资产都依然安好。

结论

被骗被盗绝非人们渴望遇到的事，但不幸遇到时冷静面对，并调整心态，进行事后检讨，才是正确的处事态度。现在，Web 3.0 的圈子中虽然未有一套可以完整地打击犯罪集团和骇客的方法，但随着事件愈演愈烈，不少团队都行动起来，希望可以进一步地确保链上人们的资产安全。

但愿未来，Web 3.0 的氛围会变得健康且更加友善。