交易加密货币时不可不知的风险
前言
对于交易加密货币的风险你知道多少?随着加密货币新兴项目蓬勃发展,越来越多风险需要考量,包含常见的诈骗与骇客风险及可能造成重大影响的金融与政府监管风险。
或许你曾听闻相较传统金融市场,新兴的加密货币存在较高风险,这些风声从何而来呢?对于其中各异的风险类型,处置与应对的方式也不尽相同。以下将就交易加密资产时可能导致经济损失的各种风险进行探讨,并提出相关的风险管理措施。
系统风险
系统风险事关整个产业的大环境,一般指受到整个产业的内部运行发展以及外部整体经济情势影响,所导致的金融市场价格动荡。
例如美联储(Fed)2022 年 3 月中宣布调高利率一码后开始陆续升息又于 6 月进行缩表,从以往的投入债券中逐渐减少挹注资金,导致市场资金回流银行体系、投资市场惨澹;加上战争与疫情导致供应链短缺,伴随高失业率酿就恶性通膨,促使 Fed 祭出更高的升息,引起恶性循环,市场行情持续低靡。
风险管理办法:调整好心态做好资产配置,不因市场动荡而恐慌抛售资产,耐心等待下轮牛市复苏。
市场风险
加密市场实行全年 24 小时全天候交易模式,没有所谓的「 休市 」概念,也没有涨跌幅限制,所以价格波动相对较大。除此之外,也有因价格变化带来的清算风险与流动性风险。
- 价格波动风险
指行情变动走势高低起伏较大,相对资产净值变化剧烈。如比特币,截至2022年8月,最高价是2021年 11 月创下约 69000 美元的历史高峰。而11月后历经种种风波,价格逐渐走低,在 5 月正式迎来熊市,在 6 月最低探至约 17600 美元,半年多跌幅高达 74.44% 。
By TradingView
- 清算风险
清算是指当借款人的抵押品价值随着币价波动而大幅下降,为使智能合约正常运行,清算机制将把借款人的抵押品竞标拍出,而当大量筹码被抛售将导致市场价格骤降。这种价格波动太大导致的清算危机会间接让市场价格下跌加剧,进一步演变为整个行业动荡的系统性风险,如 2008 年的雷曼兄弟事件。
2022年加密市场的大型机构清算事件:受三箭资本破产风波牵连的加密货币借贷平台 Celsius 自 6 月 13 日暂停用户提款以来,持续向各个借贷协议还款以降低清算价格。但最终仍在 7 月 14 日申请破产,相关文件显示 Celsius 拖欠债款高达 55 亿美元且有虚报持有资产价值的嫌疑,隐瞒四万枚 ETH 损失。而 7 月 8 日 Tether 宣布清算 Celsius 一笔以 BTC 超额抵押的贷款, Celsius 损失近 1 亿美元。
该事件 Celsius 所做的一个还款行为是向 FTX 充值约 24,462 枚 WBTC ,价值高达 5.3 亿美元。虽无官方正式发声,但社群猜想 Celsius 或有意卖出资产以换取流动性来偿还债务,但抛售同时也为市场带来强大卖压,无疑让市场价格下跌更严重。
- 流动性风险
简而言之是指资产变现的能力。一般在交易低市值币种、NFT 项目时,有时热度退散后需求缩减,容易发生流动性枯竭的问题,因此购买时除了市场价格也需考量项目背后是否有实际价值支撑等问题。以下案例是探讨无法正常提现造成的挤兑现象。
继上述 Celsius 在 6 月 13 日无预警地暂停用户提现,引起大众恐慌情绪后,另一家与之齐名的加密货币借贷平台 Babel Finance ,也在同周突然宣布暂停赎回和提现服务。而后 Babel Finance 在官网声明,系统性风险四处蔓延,同行机构相继被牵连,市场开始出现挤兑风潮, Babel Finance 面临庞大流动性压力,因而采取暂停赎回和提现功能以防损失进一步扩大。
风险管理办法:面对价格波动风险、清算风险、流动性风险等问题,可以先做好事前功课,衡量购入的资产价格是否符合其背后价值,做好资产配置,以减少面临挤兑与价格崩落的风险。
营运风险
- 交易所风险
指因中心化与去中心化交易所的失误操作而影响其用户的资产,导致用户无法提现的交易所相关经营风险。
上述的 Celsius 暂停提款禁止交易直至最终破产即属于交易所风险。不同于一般银行可以与他行或央行进行短期借款, 作为新兴产业 DeFi 体系并未发展出同业拆借模式。因其 DeFi 金融体系的流动性困境,如果其协议背后没有可以产生现金流的经济模型支撑,外加由于高利息而无法再与第三方 DeFi 进行借贷。则该项目无异于是拿后进者投入的资产来支付先进者的报酬,当无余裕的资金持续投入,就会出现资不抵债的情况,如果此时限制用户将资金提出,只会引起投资人恐慌,情况进一步恶化,最终导致公司破产。
转账丢失的风险
操作虚拟货币转账、充值与提现的过程需要自行输入区块链与地址,若是填错区块链或地址,要再次找回代币非常困难,因此需要谨慎小心操作。私钥丢失的风险
加密货币的每个钱包都只有一个私钥,由加密算法组成的一个 32 位元组随机数与 64 个十六进位的字符组成,具有唯一性且不得修改。私钥的生成是无规律的,因此一般无法单纯依靠记忆,通常会写下或拍照保存。
在传统金融,如果用户忘了密码,银行可以协助找回该帐户的密码或重新设定。在虚拟货币的世界因其匿名性与去中心化的特点,拥有私钥才能证明此钱包中资产的所有权。私钥除了本人其他人无从得知,私钥丢失是不可逆的,若丢失私钥,任何人都无法恢复,等同于钱包里的资产看得到但却再也无法使用。
截至2021年,因使用者遗失私钥而遗失的比特币约有 400 万枚。其中最知名的一名前 Ripple CTO 德国工程师 Stefan Thomas,他的 IronKey 冷钱包拥有 7,002 枚 BTC,但他忘记了私钥,无法对这笔巨款进行任何操作。更悲惨的是 IronKey 有 10 次登入错误尝试的限制,达到 10 次失败后将永远被锁死,目前 Thomas 只剩下两次机会可以拿回触手可及的财富。
风险管理办法:时时关注交易所与去中心化交易所动向,注意识别过高的年化收益报酬陷阱。当资金交易或传送时也需小心谨慎,以及永远不要遗失钱包私钥。
诈骗与黑客风险
美国联邦贸易委员会 (FTC) 指出,自 2020 年 10 月至 2021 年 3 月,半年期间高达 7,000 人因加密货币的诈骗投资陷阱而损失数字资产,金额累计约 8,000 万美元。相比前年同期的 570 宗加密货币投资诈骗案的 750 万美元损失大幅增加逾 10 倍,这代表着数字货币诈骗手法日新月异,受骗人数也直线增加。
各种加密货币诈骗形式:
a. 黑客诈骗
b.钓鱼网站
c.赠品诈骗
d.虚假工作机会
e.退款骗局
f.虚假IC0
g.假加密钱包
h.sim卡诈骗
i.恶意软件
至今有数种诈骗形式,以下简述较常见的诈骗形式及应对方法
- 去中心化钱包盗用风险
随 DeFi 在 2021 年蓬勃发展,带来大量关注度与资金流,去中心化交易所钱包变为黑客攻击的首选目标。去中心化交易的所有交易行为皆在区块链上完成,其数字资产会储存在用户的钱包或该链的智能合约上,链上每笔交易记录都公开透明,无第三方保管使用者的资产和私钥等数据,使用者可以完全掌握其资金所有权,因此可保有高度资产自主性。但若投资者无良好的管理方式也会无形中增加被盗的风险。
加密货币安全公司 CipherTrace 的数据显示,2021 年里黑客盗窃案件有关于 DeFi 的黑客攻击比例高于 60% ,远高于 2020 年同期的 20%。而从金额上来看 2021 前半年被盗的加密币价值约 1.56 亿美元,远高于 2020 一整年被盗的总额 1.29 亿美元。
A. 至今最贵的加密货币盗窃案
在 2022 年 3 月 30 日, Axie Infinity 的开发商 Sky Mavis 宣称发现一个星期前黑客窃取验证交易所需的私钥,以此来伪造交易换取其他加密货币。实际盗窃手法是从连接 Axie 的 Ronin 侧链到以太坊的桥上盗窃资金,而 Ronin Network 即为炙手可热 NFT 游戏 Axie Infinity 开发的专用以太坊侧链。
估计损失的总价值高达 6.25 亿美元,包含 173,600 个 ETH 或 WETH (约5.97亿) 和 2550 万个 USDC ,是加密货币有史以来资金规模最大的黑客盗窃案。
而黑客盗窃事发后 3 个月 Ronin 连接到以太坊主网的桥已重新搭建,目前已恢复正常提现功能。
By Ronin Twitter
B.目前加密货币黑客盗窃金额排名前十的案件
By:Statista/Bloomberg, Business Insider, TechCrunch, CNBC, Ronin Network, Vice.
第一名是上述的 Ronin Network 盗窃案,金额高达 6.25 亿美元。紧接其后第二名是当时造成轰动的 Poly Network 盗窃案,损失共 6.11 亿美元。Poly Network是一个跨链协议,使用者可以借此协议,利用单笔资产在不同资金池中获取收益。该案件黑客盗窃手法是潜进不同智能合约协议之间的漏洞以盗窃资金。
目前盗窃价值最高的前两个案件都与 DeFi 应用相关,可以看出去中心化的相关应用产业日渐茁壮,已成为黑客攻击的首选目标。
- 2022年第二、三季度较大型的黑客诈骗事件
A.黑客建立验证钱包的访问弹窗,得到授权后窃取
2022年最大的 NFT 被盗事件,发生在 7 月 17 日,黑客潜进著名的 NFT 铸造平台 Premint 盗走 320 个 NFT, 官方表示被未知的第三方侵入程序,导致使用者资产损失,当下紧急采取暂时关闭网站的措施以免损失进一步扩大。
By Premint twitter
事后根据区块链安全公司(CertiK)的分析,黑客操作手法是使用恶意 JavaScript 代码骇进 Premint 后在网站内架设一个弹出窗口,示意用户于此验证钱包所有权。乍看之下是提高使用安全性,实际上却是窃取用户的资产。
当时被盗的 NFT 热门项目包括 Bored Ape Yacht Club、Otherside、Moonbirds Oddities 和 Goblintown 的 NFT。黑客在 Opensea 等平台部分卖出获得约 280 ETH ,由于有所察觉的用户积极在社群里呼吁小心此诈骗,消息的快速传播制止了黑客后续的脱手转卖。
事件发生后, Premint 官方发文提醒用户, Premint 并不会要求任何交易访问,请用户注意不要轻易授权任何未知的交易内容。
B.以赠送物品为噱头,实为诈骗手法进行盗窃。
目前最热门的 NFT 项目之一 Bored Ape Yacht Club (BAYC) ,因受到众多公众人物喜爱,价格持续水涨船高,截至2022年已有3次的黑客盗用事件。
2022年 4 月 25 日黑客盗用 BAYC 的 Instagram 帐号并发布假空投消息,而以贴文中附上的钓鱼链接盗走 134 个无聊猿系列的高价 NFT,总价值约 3 百万美元。
2022 年 6 月初,黑客在 BAYC 的 Discord 社群中发布虚假消息的链接,宣称将赠送用户限时的免费 NFT ,导致不知情的用户被盗取资产,据区块链资安公司 PeckShield 资料,确定有一枚 BAYC 和两枚 Mutant Apes 代币被盗,总价约 35 万美元。
By OKHotshot Twitter
风险管理办法:投资时选择有安全审计的项目并取消目前用不到的访问权限,以下简述如何撤销智能合约授权。
断开钱包与 Dapps 与撤销智能合约授权
智能合约授权 ( Smart Contract Allowances ) 是指容许 Dapps 可以代替人为操作及移动钱包内的资产。
因为经过许可权限才可以移动代币或执行操作,而为提升流程效率,以免人为逐一许可审核的麻烦,通常许可此智能合约地址移动 1 种代币,便可移动钱包里的所有该种代币。但也因此发送代币的许可行为很有可能导致钱包里的资产被盗取。
而撤销智能合约许可 ( Revoking an approval/allowance ) 代表 Dapps 无法再次访问钱包及移动钱包内资产。而与钱包断开 ( Disconnecting your wallet ) 是指此 Dapp 无法再进行有权限的确认及交易行为,不能偷偷发动交易及查阅以往记录。然而 Dapp Disconnect 断开连接并不包括智能合约,即无法完全阻止其移动钱包里的资产。
因此,建议不止要断开钱包与 Dapps ,同时需要撤销智能合约授权,以免恶意智能合约暗中偷走钱包中的资产。
保证钱包安全的贴士:定期执行断开钱包与 Dapps ,撤销智能合约授权
- 注意许可的权限内容
- 尝试新项目时可以更换全新的钱包
- 使用硬件冷钱包
金融与政府监管风险
虽加密货币不受政府监管,但传统金融与加密货币两者资金流互通,往往牵一发而动全身,因此仍会因政策或资讯而产生波动。
在 2017 年 9 月 4 日,中国人民银行明言遏止 IC0 的发行,并要求在 10 日后停止新用户的注册,并于月底终止所有相关服务。此消息发布后引起了大众的恐慌情绪,纷纷抛售数字资产,导致加密货币市场“跳水式”下跌。但而后市场看涨力度强劲,在同年年底迎来第一次的比特币价格高峰。
为抑制自 1981 年以来 40 年中有史以来最高的通膨率 8.3% ,原属鸽派的 Fed 断然舍弃十多年的宽松货币政策, 在 2022 年初进行了升息及在 6 月进行了缩表,将市场投资资金以间接与直接的方式收回银行与央行体系以降低通胀。
但此举连带打击投资人信心,重挫金融市场士气,以致美股与虚拟货币从 3 月底连跌 9 周,虽然而后在 5 月底迎来小幅市场回温,但屡创新高的通胀率在 Fed 一次升息 3 码的操作下也毫无缓解。2022年 6 月通胀率高至 9.1%,再次创下 40 年来新高, 不排除下个月 Fed 宣布升息 4 码的可能性。如今政策伴随市场的萧条带给投资人更多的是失望,让市场逐步迈入熊市寒冬。
结论
上述种种交易加密货币时遭遇的风险,尽管有些是不可预期也无法避免的,但仍可借由良好的风险管理办法来降低遭遇风险时的资产损失。
像是广为大众所知的八二法则,可以将八成的资产作为储存备而不用放在相对安全的冷钱包,阻断黑客攻击的途径,剩下二成的资产也放在不同的“篮子”中。聪明的投资人往往不逃避风险而是分散风险,以此降低风险来临时资产损失的比例。
有些安全观念与习惯的养成由为重要。如上文提到,若未经再次确认不要轻易许可任何权限。对于有诱因的诈骗陷阱手法也需娴熟于心,不会有免费的空投 NFT 或代币赠送,有的只是钓鱼网站带来的钱财损失。
因其匿名特性,投资加密货币需要自己保管所有数据与资产,因而需要特别的小心与谨慎,不管是私钥的保存或是传送数字资产的过程,皆需再次确认;而同时也需严防近年兴盛的 DeFi 黑客窃取手法,可以撤销用不到的智能合约授权,以防黑客盗窃钱包资产。
做好交易加密货币的事前准备与保持良好交易习惯,可以降低风险减少损失,获得更良好的交易体验。
相关文章
交易加密货币时不可不知的风险
前言
对于交易加密货币的风险你知道多少?随着加密货币新兴项目蓬勃发展,越来越多风险需要考量,包含常见的诈骗与骇客风险及可能造成重大影响的金融与政府监管风险。
或许你曾听闻相较传统金融市场,新兴的加密货币存在较高风险,这些风声从何而来呢?对于其中各异的风险类型,处置与应对的方式也不尽相同。以下将就交易加密资产时可能导致经济损失的各种风险进行探讨,并提出相关的风险管理措施。
系统风险
系统风险事关整个产业的大环境,一般指受到整个产业的内部运行发展以及外部整体经济情势影响,所导致的金融市场价格动荡。
例如美联储(Fed)2022 年 3 月中宣布调高利率一码后开始陆续升息又于 6 月进行缩表,从以往的投入债券中逐渐减少挹注资金,导致市场资金回流银行体系、投资市场惨澹;加上战争与疫情导致供应链短缺,伴随高失业率酿就恶性通膨,促使 Fed 祭出更高的升息,引起恶性循环,市场行情持续低靡。
风险管理办法:调整好心态做好资产配置,不因市场动荡而恐慌抛售资产,耐心等待下轮牛市复苏。
市场风险
加密市场实行全年 24 小时全天候交易模式,没有所谓的「 休市 」概念,也没有涨跌幅限制,所以价格波动相对较大。除此之外,也有因价格变化带来的清算风险与流动性风险。
- 价格波动风险
指行情变动走势高低起伏较大,相对资产净值变化剧烈。如比特币,截至2022年8月,最高价是2021年 11 月创下约 69000 美元的历史高峰。而11月后历经种种风波,价格逐渐走低,在 5 月正式迎来熊市,在 6 月最低探至约 17600 美元,半年多跌幅高达 74.44% 。
By TradingView
- 清算风险
清算是指当借款人的抵押品价值随着币价波动而大幅下降,为使智能合约正常运行,清算机制将把借款人的抵押品竞标拍出,而当大量筹码被抛售将导致市场价格骤降。这种价格波动太大导致的清算危机会间接让市场价格下跌加剧,进一步演变为整个行业动荡的系统性风险,如 2008 年的雷曼兄弟事件。
2022年加密市场的大型机构清算事件:受三箭资本破产风波牵连的加密货币借贷平台 Celsius 自 6 月 13 日暂停用户提款以来,持续向各个借贷协议还款以降低清算价格。但最终仍在 7 月 14 日申请破产,相关文件显示 Celsius 拖欠债款高达 55 亿美元且有虚报持有资产价值的嫌疑,隐瞒四万枚 ETH 损失。而 7 月 8 日 Tether 宣布清算 Celsius 一笔以 BTC 超额抵押的贷款, Celsius 损失近 1 亿美元。
该事件 Celsius 所做的一个还款行为是向 FTX 充值约 24,462 枚 WBTC ,价值高达 5.3 亿美元。虽无官方正式发声,但社群猜想 Celsius 或有意卖出资产以换取流动性来偿还债务,但抛售同时也为市场带来强大卖压,无疑让市场价格下跌更严重。
- 流动性风险
简而言之是指资产变现的能力。一般在交易低市值币种、NFT 项目时,有时热度退散后需求缩减,容易发生流动性枯竭的问题,因此购买时除了市场价格也需考量项目背后是否有实际价值支撑等问题。以下案例是探讨无法正常提现造成的挤兑现象。
继上述 Celsius 在 6 月 13 日无预警地暂停用户提现,引起大众恐慌情绪后,另一家与之齐名的加密货币借贷平台 Babel Finance ,也在同周突然宣布暂停赎回和提现服务。而后 Babel Finance 在官网声明,系统性风险四处蔓延,同行机构相继被牵连,市场开始出现挤兑风潮, Babel Finance 面临庞大流动性压力,因而采取暂停赎回和提现功能以防损失进一步扩大。
风险管理办法:面对价格波动风险、清算风险、流动性风险等问题,可以先做好事前功课,衡量购入的资产价格是否符合其背后价值,做好资产配置,以减少面临挤兑与价格崩落的风险。
营运风险
- 交易所风险
指因中心化与去中心化交易所的失误操作而影响其用户的资产,导致用户无法提现的交易所相关经营风险。
上述的 Celsius 暂停提款禁止交易直至最终破产即属于交易所风险。不同于一般银行可以与他行或央行进行短期借款, 作为新兴产业 DeFi 体系并未发展出同业拆借模式。因其 DeFi 金融体系的流动性困境,如果其协议背后没有可以产生现金流的经济模型支撑,外加由于高利息而无法再与第三方 DeFi 进行借贷。则该项目无异于是拿后进者投入的资产来支付先进者的报酬,当无余裕的资金持续投入,就会出现资不抵债的情况,如果此时限制用户将资金提出,只会引起投资人恐慌,情况进一步恶化,最终导致公司破产。
转账丢失的风险
操作虚拟货币转账、充值与提现的过程需要自行输入区块链与地址,若是填错区块链或地址,要再次找回代币非常困难,因此需要谨慎小心操作。私钥丢失的风险
加密货币的每个钱包都只有一个私钥,由加密算法组成的一个 32 位元组随机数与 64 个十六进位的字符组成,具有唯一性且不得修改。私钥的生成是无规律的,因此一般无法单纯依靠记忆,通常会写下或拍照保存。
在传统金融,如果用户忘了密码,银行可以协助找回该帐户的密码或重新设定。在虚拟货币的世界因其匿名性与去中心化的特点,拥有私钥才能证明此钱包中资产的所有权。私钥除了本人其他人无从得知,私钥丢失是不可逆的,若丢失私钥,任何人都无法恢复,等同于钱包里的资产看得到但却再也无法使用。
截至2021年,因使用者遗失私钥而遗失的比特币约有 400 万枚。其中最知名的一名前 Ripple CTO 德国工程师 Stefan Thomas,他的 IronKey 冷钱包拥有 7,002 枚 BTC,但他忘记了私钥,无法对这笔巨款进行任何操作。更悲惨的是 IronKey 有 10 次登入错误尝试的限制,达到 10 次失败后将永远被锁死,目前 Thomas 只剩下两次机会可以拿回触手可及的财富。
风险管理办法:时时关注交易所与去中心化交易所动向,注意识别过高的年化收益报酬陷阱。当资金交易或传送时也需小心谨慎,以及永远不要遗失钱包私钥。
诈骗与黑客风险
美国联邦贸易委员会 (FTC) 指出,自 2020 年 10 月至 2021 年 3 月,半年期间高达 7,000 人因加密货币的诈骗投资陷阱而损失数字资产,金额累计约 8,000 万美元。相比前年同期的 570 宗加密货币投资诈骗案的 750 万美元损失大幅增加逾 10 倍,这代表着数字货币诈骗手法日新月异,受骗人数也直线增加。
各种加密货币诈骗形式:
a. 黑客诈骗
b.钓鱼网站
c.赠品诈骗
d.虚假工作机会
e.退款骗局
f.虚假IC0
g.假加密钱包
h.sim卡诈骗
i.恶意软件
至今有数种诈骗形式,以下简述较常见的诈骗形式及应对方法
- 去中心化钱包盗用风险
随 DeFi 在 2021 年蓬勃发展,带来大量关注度与资金流,去中心化交易所钱包变为黑客攻击的首选目标。去中心化交易的所有交易行为皆在区块链上完成,其数字资产会储存在用户的钱包或该链的智能合约上,链上每笔交易记录都公开透明,无第三方保管使用者的资产和私钥等数据,使用者可以完全掌握其资金所有权,因此可保有高度资产自主性。但若投资者无良好的管理方式也会无形中增加被盗的风险。
加密货币安全公司 CipherTrace 的数据显示,2021 年里黑客盗窃案件有关于 DeFi 的黑客攻击比例高于 60% ,远高于 2020 年同期的 20%。而从金额上来看 2021 前半年被盗的加密币价值约 1.56 亿美元,远高于 2020 一整年被盗的总额 1.29 亿美元。
A. 至今最贵的加密货币盗窃案
在 2022 年 3 月 30 日, Axie Infinity 的开发商 Sky Mavis 宣称发现一个星期前黑客窃取验证交易所需的私钥,以此来伪造交易换取其他加密货币。实际盗窃手法是从连接 Axie 的 Ronin 侧链到以太坊的桥上盗窃资金,而 Ronin Network 即为炙手可热 NFT 游戏 Axie Infinity 开发的专用以太坊侧链。
估计损失的总价值高达 6.25 亿美元,包含 173,600 个 ETH 或 WETH (约5.97亿) 和 2550 万个 USDC ,是加密货币有史以来资金规模最大的黑客盗窃案。
而黑客盗窃事发后 3 个月 Ronin 连接到以太坊主网的桥已重新搭建,目前已恢复正常提现功能。
By Ronin Twitter
B.目前加密货币黑客盗窃金额排名前十的案件
By:Statista/Bloomberg, Business Insider, TechCrunch, CNBC, Ronin Network, Vice.
第一名是上述的 Ronin Network 盗窃案,金额高达 6.25 亿美元。紧接其后第二名是当时造成轰动的 Poly Network 盗窃案,损失共 6.11 亿美元。Poly Network是一个跨链协议,使用者可以借此协议,利用单笔资产在不同资金池中获取收益。该案件黑客盗窃手法是潜进不同智能合约协议之间的漏洞以盗窃资金。
目前盗窃价值最高的前两个案件都与 DeFi 应用相关,可以看出去中心化的相关应用产业日渐茁壮,已成为黑客攻击的首选目标。
- 2022年第二、三季度较大型的黑客诈骗事件
A.黑客建立验证钱包的访问弹窗,得到授权后窃取
2022年最大的 NFT 被盗事件,发生在 7 月 17 日,黑客潜进著名的 NFT 铸造平台 Premint 盗走 320 个 NFT, 官方表示被未知的第三方侵入程序,导致使用者资产损失,当下紧急采取暂时关闭网站的措施以免损失进一步扩大。
By Premint twitter
事后根据区块链安全公司(CertiK)的分析,黑客操作手法是使用恶意 JavaScript 代码骇进 Premint 后在网站内架设一个弹出窗口,示意用户于此验证钱包所有权。乍看之下是提高使用安全性,实际上却是窃取用户的资产。
当时被盗的 NFT 热门项目包括 Bored Ape Yacht Club、Otherside、Moonbirds Oddities 和 Goblintown 的 NFT。黑客在 Opensea 等平台部分卖出获得约 280 ETH ,由于有所察觉的用户积极在社群里呼吁小心此诈骗,消息的快速传播制止了黑客后续的脱手转卖。
事件发生后, Premint 官方发文提醒用户, Premint 并不会要求任何交易访问,请用户注意不要轻易授权任何未知的交易内容。
B.以赠送物品为噱头,实为诈骗手法进行盗窃。
目前最热门的 NFT 项目之一 Bored Ape Yacht Club (BAYC) ,因受到众多公众人物喜爱,价格持续水涨船高,截至2022年已有3次的黑客盗用事件。
2022年 4 月 25 日黑客盗用 BAYC 的 Instagram 帐号并发布假空投消息,而以贴文中附上的钓鱼链接盗走 134 个无聊猿系列的高价 NFT,总价值约 3 百万美元。
2022 年 6 月初,黑客在 BAYC 的 Discord 社群中发布虚假消息的链接,宣称将赠送用户限时的免费 NFT ,导致不知情的用户被盗取资产,据区块链资安公司 PeckShield 资料,确定有一枚 BAYC 和两枚 Mutant Apes 代币被盗,总价约 35 万美元。
By OKHotshot Twitter
风险管理办法:投资时选择有安全审计的项目并取消目前用不到的访问权限,以下简述如何撤销智能合约授权。
断开钱包与 Dapps 与撤销智能合约授权
智能合约授权 ( Smart Contract Allowances ) 是指容许 Dapps 可以代替人为操作及移动钱包内的资产。
因为经过许可权限才可以移动代币或执行操作,而为提升流程效率,以免人为逐一许可审核的麻烦,通常许可此智能合约地址移动 1 种代币,便可移动钱包里的所有该种代币。但也因此发送代币的许可行为很有可能导致钱包里的资产被盗取。
而撤销智能合约许可 ( Revoking an approval/allowance ) 代表 Dapps 无法再次访问钱包及移动钱包内资产。而与钱包断开 ( Disconnecting your wallet ) 是指此 Dapp 无法再进行有权限的确认及交易行为,不能偷偷发动交易及查阅以往记录。然而 Dapp Disconnect 断开连接并不包括智能合约,即无法完全阻止其移动钱包里的资产。
因此,建议不止要断开钱包与 Dapps ,同时需要撤销智能合约授权,以免恶意智能合约暗中偷走钱包中的资产。
保证钱包安全的贴士:定期执行断开钱包与 Dapps ,撤销智能合约授权
- 注意许可的权限内容
- 尝试新项目时可以更换全新的钱包
- 使用硬件冷钱包
金融与政府监管风险
虽加密货币不受政府监管,但传统金融与加密货币两者资金流互通,往往牵一发而动全身,因此仍会因政策或资讯而产生波动。
在 2017 年 9 月 4 日,中国人民银行明言遏止 IC0 的发行,并要求在 10 日后停止新用户的注册,并于月底终止所有相关服务。此消息发布后引起了大众的恐慌情绪,纷纷抛售数字资产,导致加密货币市场“跳水式”下跌。但而后市场看涨力度强劲,在同年年底迎来第一次的比特币价格高峰。
为抑制自 1981 年以来 40 年中有史以来最高的通膨率 8.3% ,原属鸽派的 Fed 断然舍弃十多年的宽松货币政策, 在 2022 年初进行了升息及在 6 月进行了缩表,将市场投资资金以间接与直接的方式收回银行与央行体系以降低通胀。
但此举连带打击投资人信心,重挫金融市场士气,以致美股与虚拟货币从 3 月底连跌 9 周,虽然而后在 5 月底迎来小幅市场回温,但屡创新高的通胀率在 Fed 一次升息 3 码的操作下也毫无缓解。2022年 6 月通胀率高至 9.1%,再次创下 40 年来新高, 不排除下个月 Fed 宣布升息 4 码的可能性。如今政策伴随市场的萧条带给投资人更多的是失望,让市场逐步迈入熊市寒冬。
结论
上述种种交易加密货币时遭遇的风险,尽管有些是不可预期也无法避免的,但仍可借由良好的风险管理办法来降低遭遇风险时的资产损失。
像是广为大众所知的八二法则,可以将八成的资产作为储存备而不用放在相对安全的冷钱包,阻断黑客攻击的途径,剩下二成的资产也放在不同的“篮子”中。聪明的投资人往往不逃避风险而是分散风险,以此降低风险来临时资产损失的比例。
有些安全观念与习惯的养成由为重要。如上文提到,若未经再次确认不要轻易许可任何权限。对于有诱因的诈骗陷阱手法也需娴熟于心,不会有免费的空投 NFT 或代币赠送,有的只是钓鱼网站带来的钱财损失。
因其匿名特性,投资加密货币需要自己保管所有数据与资产,因而需要特别的小心与谨慎,不管是私钥的保存或是传送数字资产的过程,皆需再次确认;而同时也需严防近年兴盛的 DeFi 黑客窃取手法,可以撤销用不到的智能合约授权,以防黑客盗窃钱包资产。
做好交易加密货币的事前准备与保持良好交易习惯,可以降低风险减少损失,获得更良好的交易体验。
相关文章