虛擬新世界:日防夜防,網賊難防?

文章日期:2022年05月11日

【明報專訊】蔡:鄒sir,不是說加密技術好穩陣嗎?為什麼虛擬世界都可以被人打荷包?

鄒:你指早前全球市值最大的NFT項目Bored Ape Yacht Club(圖)的官方Instagram被黑客入侵,被騙300萬美金的新聞?

錢包密碼/私鑰絕不可公開

蔡:是的。我剛想學人投資NFT,但感覺好危險?

鄒:又不用太驚,我教你兩招,認識這新興投資市場的基本資料。首先從「錢包」(wallet)說起,錢包是加密貨幣的載體,用作發送、儲存及接收加密貨幣,當中包含兩組代碼,一組是錢包「地址」或「公鑰Public Key」,如同銀行帳號,若有人要轉帳加密貨幣,收帳者便可提供地址給付款者。另一組代碼是錢包「密碼」或「私鑰Private Key」,擁有這組代碼,意味擁有錢包管理權,包括將資產轉移。簡言之,錢包地址/公鑰可以公開,但錢包密碼/私鑰卻絕不可公開。加密錢包亦分為「熱錢包」 (Hot Wallet)和「冷錢包」(Cold Wallet),熱錢包是用可上網裝置如手機、電腦運作的錢包,只要下載App就能交易虛擬貨幣。但由於連接網絡,即黑客有機會經網絡入侵,我不建議用熱錢包儲存大量加密貨幣。至於冷錢包(又稱為「去中心化錢包」),因為不記名,毋須註冊電郵或電話,沒有任何網絡蹤迹,私鑰存放於實體錢包中,可離線儲存擺放安全地方,因此被認為是目前較安全的儲幣方法,建議將不常用來交易或大額的加密貨幣分散存放到數個冷錢包。

蔡:那今次受害者如何被騙?

鄒:估計受害者因黑客的小着數而將錢包授權給假網站,令錢包大開中門致損失。

切忌開來歷不明冷錢包

蔡:還有其他貼士可避免被黑客有機可乘嗎?

鄒:除了緊記貪字得個貧,切忌開來歷不明的冷錢包,以免內附惡意病毒如木馬程式,亦可到國際GitHub或Reddit平台查看冷錢包論壇的評語。再者,可定期備份錢包的wallet.dat文件,這份檔案也可備份到多個硬碟,設置一個讀取密碼來保護,甚至可以將recovery phrase抄在紙上及存放在安全地方,作雙重保障。其次當然是使用較新軟體版本的錢包,因通常有更安全的保護功能。最後亦可考慮在每筆交易加入多重簽名認證,即每次從錢包存取加密貨幣,需要多於一個已設定的人員同意這筆交易。

文:香港數碼資產學會幹事鄒健宏×特約記者蔡永中