龐博文- NFT資安二三事｜暗網潛航 – 頭條日報 Headline Daily

最近我其中一個技術服務團隊接獲數個NFT項目，由於這些項目比較新穎有趣，所以我也參與在不同層面當中，甚至開了一個網絡安全的頻道，每天抽時間回答各類訊息安全問題。我亦趁機遊走不同NFT項目的Discord社群，查看項目的路線圖及鑄幣網站，觀察社群發展和技術。

這段時間，我觀察到加入Discord購買NFT的一般使用者，對訊息安全的認知非常參差。當中小部份為經驗豐富的使用者，但普遍使用者的訊息安全意識及知識都非常貧乏，例如他們對來歷不明的私訊及連結毫無警惕、需要時常提醒他們更新瀏覽器和系統等。更令人驚訝的是，大部份使用者都沒有冷、暖、熱錢包的設置，甚至沒有對Discord進行安全設置。難怪早前有報道指，一位名人把裝滿昂貴NFT的熱錢包隨便交給朋友，並因誤點釣魚連結被盜。

其次， NFT項目的技術人員亦很有趣。在我運作網絡安全頻道幾天後，有一些其他NFT項目的技術人員跑進來提問，他們的問題千奇百怪。有些人的智能合約因編寫出現邏輯錯誤和加密管理不善，被反編譯及盜取NFT；又有些因為頻道安全管理出問題，令詐騙機械人橫行；還有些網站及鑄幣頁面因欠缺安全編碼被網絡攻擊。

這些問題反映他們雖然擁有NFT技術，但卻欠缺訊息安全知識，包括對安全監控、安全編碼檢查、攻擊測試、漏洞掃描等知識感到陌生。

我認為這些技術人員的訊息安全水平與坊間的業餘相若，未達到正規商業水平，而相比電子支付的水平還差得遠。