当又一位重要的NFT收藏家Larry Lawliet在2月初被骗走了价值270万美元的NFT(其中包括7件价格高昂的“无聊猿(Bored Apes)”)时,很多艺术界人士都白眼一翻。但Lawliet的不幸多少会令其他人担心,自己的数字资产是否会遭遇同样的命运。Lawliet事件发生的一个月前,纽约的艺术品藏家和画廊主Todd Kramer刚刚在Twitter发文求助,说他的“无聊猿游艇俱乐部”(Bored Ape Yacht Club)和“变异猿游艇俱乐部”(Mutant Ape Yacht Club)收藏失窃,被盗走了价值220万美元的NFT。两个案件的受害人都遭遇了社会工程骗局或网络钓鱼,导致他们不小心吐露了自己的机密信息。

NFT收藏家Larry Lawliet被骗走了价值270万美元的NFT,其中包括7件“无聊猿”的作品

所以,电子“钱包”到底是什么?你又能怎么保证它的安全?电子钱包和实体钱包根本就是两回事,因为电子钱包储存的是资产的 ID 信息,而非资产本身。

“很多人听到‘钱包’两个字,想到的其实是用来控制钱包的工具——通常是以太坊的MetaMask和Tezos的TempleWallet,”致力于保障藏家安全的服务平台ClubNFT的联合创始人Christopher King表示。“准确地说,它们应该是‘钱包管家’,而所谓的钱包其实是一个ID,是关联着一个区块链地址的一串密钥。”代币储存在区块链地址里,但NFT的媒体文件通常是存储在链外的。

这种去中心化的系统存在着多种多样的弱点,但最重要的一点是,它把维护资产安全的责任转嫁到了所有者本人身上。

“我们已经习惯把自己的资产交给银行或其他机构保管了,以至于我们已经不知道怎么自我保护了,” NFT艺术收藏家Amir Soleymani表示。“一个去中心化的空间属于所有人,包括那些坏人,所以我们每个人都要学习怎么保护自己的资产。”

如果是发生在线下的盗窃或诈骗,我们能看到罪犯被抓获、资产被追回,但一旦NFT的密钥或钱包被盗,那就彻底追不回来了。

网络诈骗犯是其中最显著的风险,而Kramer 和Lawliet的例子让我们看到了,在一个仍然年轻的市场里,如何辨别可靠的信源是一大难题。

“作为一个相对较新的经济形态,买家对风险和黑客的潜在手段仍未有足够的认识,”LAL art NFT咨询公司创始人Funny Lakoubay说,“买家有时甚至都不知道该怎么保证自己的投资安全。”

恶意软件和机器攻击是另外一个隐患,因此出现了一堆离线储存NFT和安全信息的措施和技术方案,比如Ledger等冷钱包。

然而讽刺的是,最大的风险往往在于线下,在于人本身。

“区块链安全模型最弱的一环在于用户自己,” King 表示,“如果用户和他人分享了钱包密钥,不论是因为自己疏忽大意还是被巧妙的社会工程学攻击骗了,他很有可能会失去钱包存储的一切。如果用户在交易里点击了‘同意’,而那笔交易并不像他们想象的那样正规,而是别人设下的骗局,那么他们其实是把许可给了偷他们资产的小偷。”另外也有收藏者本人在现实世界中被敲诈勒索的案例。

那些在NFT低端市场如鱼得水的人可能不觉得自己有什么危险,但正如网络平台Vertical Crypto Art在它的网络课程中所警告的那样,罪犯可能会保存你的信息,然后等着你的资产增值。

如何保障NFT钱包安全?

选择“冷钱包”钱包有两种:“热钱包”,也就是保持联网状态的钱包;和“冷钱包”,也就是不联网的钱包。后者被认为是更安全的,不过它的安全性仍旧依赖于记住密钥信息的所有者自己。要记得经常检查设备的健康情况,比如装最新版的软件和经过认证的防病毒软件。检查认证信息确保所有的出价或点击链接来自于可信任的账号和用户。需要检查的信息有:看似是来自 OpenSea 的邮箱账号、询问钱包助记词(seed phrase)的信息、卖假NFT的信息,等等。慢慢来做好作业,包括了解你的NFT存储在哪——NFT链接的大部分艺术品都是存储在链外的(比如 IPFS 星际文件系统),从而考虑你可以采取的其他安全措施。保护好你的密钥一旦密钥泄露,便会产生无法挽回的损失。考虑用老办法记住它——信不信由你,有时候纸、笔和信封是最好的办法。如果它看起来好得不真实……那就不是真的长点心,做最坏的打算,然后反向思考。这或许并不是最积极的办法,但却是最安全的。