近日有某大型NFT網上交易平台的用戶誤中釣魚攻擊陷阱,而導致NFT資產被盜,估計損失超過170萬美元。事源該NFT網上交易平台早前以保安理由要求用戶將出售中的NFT升級至新的智能合約,有黑客便看準機會,偽冒該平台團隊,籍提醒用戶作借口來發送包括惡意網站連結的釣魚郵件,該假網站藏有交易條款,要求用戶簽署授權執行。有用戶信以為真,不慎點擊授權,令NFT資產被轉走。
香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)早前已發出警告及展望,呼籲用戶要加倍提防日益猖獗的網絡釣魚攻擊,並預測加密貨幣及元宇宙相關技術將會是今年黑客的重點攻擊目標之一。
HKCERT再次提醒用戶小心保護加密資產,防止黑客非法存取:
1. 切勿任意點擊或打開來歷不明的電郵、短訊或社交媒體內的超連結或附件;
2. 使用瀏覽器標籤功能來儲存NFT平台網址,避免使用其他人發送的連結登入平台;
3. 簽署任何交易前,應小心核實所有資料,如有不明的資料,應提高警覺及向官方機構查證;
4. 檢視自己的NFT授權,並撤銷過去有問題或是不確定用途的授權;
5. 切勿向任何人披露加密貨幣錢包的恢復短語(recovery phrase)。