3月30日，

NFT，講好的安全性呢？

PART1 : NFT確實失竊了沒有？

NFT失竊之類的信息早就并不是個案，但事實上，所說失竊NFT在物理學儲存部位具體沒有變化（自始至終在鏈上），的確是可靠的。NFT不動，偷盜又必定隨著著操縱的轉交，那麼事實上失竊的是啥？——私鑰。

對于此事，何不先對焦NFT的持股和交易全過程。

（一）NFT在哪兒？怎樣操縱？

NFT必定是要上鏈的，各用戶所擁有的NFT均存放在鏈上，當用戶與家庭氛圍達

成交易后，便可根據智能合約扣除交易花費，并變動NFT在鏈上的所屬紀錄至家庭氛圍錢包，紀錄變動的重要，就取決于把握能“改動”區塊鏈技術上數字貨幣的唯一專用工具——私鑰。

簡易地說，NFT如同一個修建在數字貨幣上的房子房產，其持有人必須開啟鏈上帳戶（錢包），將該“房地產”信息內容載入帳戶中，而改動帳戶的唯一管理權限（私鑰），則有持有人獨立存放。假如持有者必須出售該“房地產”，只需應用私鑰改動錢包紀錄，修改資料會根據“智能合約”全自動匯報區塊鏈技術，在交易雙方交納“產權過戶備案服務費”（區塊鏈技術gas費，也有可能包含平臺扣除的提成）后，分別錢包便會就該房地產開展增、刪備案，至此交易達到。

整個過程，NFT僅有權利屬備案變化，而無物理學方面的遷移。因此NFT可因交易、贈予乃至因行騙而運轉，但自始至終無法被盜取，從技術應用方面講，是可靠的。

（二）私鑰不“私”，NFT便風險了

不會太難發覺，對NFT的操縱事實上是一個并列的全過程：用戶擁有私鑰可以打開和操縱錢包，錢包被改動后向區塊鏈技術進行“申請辦理”，區塊鏈技術接受“申請辦理”后開展NFT所屬備案，整個過程前后左右聯接但又互不相關。因而，做為操縱的起始點：取得私鑰就相當于取得了NFT的決策權。一旦私鑰泄漏，NFT便如板上魚類任憑別人操縱。

PART2 : “私鑰”確實失竊了沒有？

（一）“配”鎖匙并非“盜”鎖匙

私鑰實際上并沒有失竊，歸根結底，是私鑰被拷貝了。私鑰在呈現上是一連串標識符，由256位二進制數據構成，在不清楚的情形下要想猜對這一數據，幾率為2的256次方分之一。

哪些定義呢？

有些人曾如此描述，載滿 GPU 的 40 億臺電子計算機 40 億每人必備一臺“千Google”電子計算機 40 億次像地球上一樣的大行星 千萬星球高性能計算機，再用上 37 倍宇宙年齡（137億－138億光年中間）的時長，也僅有 40 億分之一的概率獲得密匙的標準答案。因此在技術上說，破解私鑰基本上并沒有可行性分析。

由于區塊鏈技術的特點，僅有用戶自身才可以把握自身的私鑰，他們十分安全性，但這也代表著，用戶務必要為了自己的財產安全性負承擔全部責任。所說竊取私鑰的個人行為，事實上是對私鑰字符串數組的拷貝-黏貼。

（二）普遍垂釣方法

拷貝-黏貼以用戶拿出鎖匙為前提條件。那麼，用戶為什么會“相互配合地”取出鎖匙？

普遍狀況有三：

1. 私鑰接觸互聯網

例如用戶將私鑰信息內容存儲在電子郵箱等云儲存上，或者誤發至社交媒體或者誤貼到詐騙網站等，也就是所說的“私鑰接觸互聯網”。（周杰倫應當便是那么丟的）

2. 用戶不正確受權

黑客可運用建立的虛報網址、虛報錢包或是搭建虛報新項目騙領用戶受權，從而運用智能合約，在用戶沒有感覺的情形下竊取財產。

如有一些騙人在一開始會裝作與你商討互換什么 NFT，并先給你展現一個確實網頁鏈接，接著明確提出對交易開展改動，在交易者放松警惕后，騙人會上傳一個行騙連接，用戶點一下確定交易后，錢包中相應的 NFT 便會被轉發給騙人的錢包中。

3. 私鑰儲存設備被侵入

這也是更升階的一種竊取私鑰的方法。一切連接網絡的設施都將會根據釣魚郵件，word 文檔等方法被黑客組裝木馬病毒。假定用戶以密文方法儲存私鑰（不在少數），或是數據加密動態口令過度簡易，黑客都很有可能遠程控制竊取。因而存儲私鑰的機器設備必須立即升級安全更新及組裝防毒軟件按時掃描儀，用冷錢包實際操作私鑰是更可靠的作法。

不會太難發覺，現階段NFT私鑰的遺失，關鍵因素取決于用戶自身。所說黑客，事實上并非工藝上的大拿，反而是把握了電子計算機、互聯網技術的行騙分子結構。

PART3 : 可處理的問題便沒有問題

從周杰倫本次NFT失竊可以看得出，其擁有的海外公鏈NFT，在安全防護層面最少存有三大系統漏洞：維護弱，轉讓快，難追究責任。前述系統漏洞來自公鏈技術性最底層構架，但并不是不能操縱。

（一）安全隱患：三個系統漏洞

即然黑客竊取私鑰，實質上是對私鑰開展了拷貝，故在黑客復制私鑰后，便會存有用戶和黑客均可與此同時操縱錢包的狀況——這時偷盜并未取得成功。直到黑客首先將NFT從錢包中遷移，才算完全奪走用戶對藏品的操縱。

1. 維護弱

在一定的區塊鏈技術前提條件下，現階段公鏈上的私鑰均由本人存放，應對技術專業黑客，本人針對私鑰的維護，在認識和技術性上父有很大差別，黑客銷售市場上展現一片“人傻錢多”的繁華景象。

2. 轉讓快

由于區塊鏈技術分布式系統認證體制，NFT的運轉實際上根據智能合約全自動開展，故一旦私鑰外流，NFT運轉便可及時運行，通常不給失主反應速度（乃至大部分失主直到NFT被交易后才會意識到私鑰遺失）。黑客通常會事前選購錢包，在獲得私鑰后第一時間，根據交易平臺將NFT向所買錢包中遷移。

3. 難追究責任

一旦NFT失竊，通常無法找到的狀況。在錢包持有人真實身份不公布的情形下，無法開展線下推廣精準定位追究責任。退一步講，就算能精確定位到現行標準持有人，根據法律法規“善意第三人”要求，先有些人在靠譜平臺（姑且覺得opensea是靠譜平臺）以有效價錢選購NFT，好像并無故意現象。因而，只需NFT在靠譜平臺開展過一次轉讓，便大致可以做到悔之晚矣的實際效果，失主只有眼巴巴看見藏品被一次次公布交易。很難受。

（二）技術性窘境：船大災調頭

以上問題的繁雜之處取決于，海外NFT基本上布署在公鏈上，具備區塊鏈技術、密名、不可逆等特點。由于現階段海外個人信息安全的嚴苛發展趨勢，在技術水平和規章制度上父無法規定公鏈錢包持有者開展實名驗證；與此同時由于公鏈交易認證體制，在海外NFT平臺已是規模化的情況下，受盈利性考慮限定，就交易認證階段開展管控盡管行得通卻難以推動。

因而，NFT的安全系數，基本上只有期待于用戶本人，但客觀事實已經說明這很不可靠。

（三）行得通對策：聯盟鏈

可以看出，海外NFT銷售市場屬于對新技術的立即通水，在持續擴展的歷程中，面

臨著船大災調頭的窘境，但針對布署在聯盟鏈上的中國NFT，以上問題卻可獲得合理操縱：

1. 平臺私鑰維護體制

對比于海外立即在鏈上開啟錢包、私鑰，用戶在中國NFT平臺開啟錢包、私鑰的流程為：用戶申請注冊平臺賬戶，根據平臺開啟本人在鏈上錢包，私鑰由平臺委托存放（也是有平臺容許用戶自主存放）。等同于用戶受權平臺依照其規定，存放和應用私鑰解決其NFT財產，該方式盡管海外平臺亦有實行，但中國平臺根據報備規章制度，相較來講更加可靠。

在這里體制下，NFT在鏈上由用戶單獨具有，用戶將私鑰交給平臺存放，平臺在政府部門報備監管。估且不說私鑰是不是還會繼續被簡易騙光，最少在私鑰損毀后，用戶可以向平臺立即追究責任。

平臺對私鑰的保障水準，將是其商業服務市場競爭中的一大神器，假如平臺與車險公司達到進一步協作，或將發覺更高的商業服務瀚海。

2. 強制性實名驗證體制

事實上，根據實名驗證體制，平臺通常無須立即為私鑰泄漏承擔。依照時下區塊鏈技術平臺報備管理規定，用戶根據平臺開啟錢包、私鑰，必須先開展實名驗證。這將促使鏈上錢包持有者真正可查。由于藏品運轉信息內容得知可查，失主大能根據人民法院、公安機關調取款持有者，認為退還“特定物”等有關利益或立即報警。

在這里情況下，就算黑客得到私鑰，也不會咎由自取將NFT轉到自身錢包，只有悄悄聯絡家庭氛圍接任NFT，這時“臟品”運轉便遭遇著很大的多變性和可變性，偷盜成本費進一步提高。

3. 鏈上交易驗證體制

退一步講，就算平臺私鑰維護制度和強制性實名驗證體制均已錯手，根據聯盟鏈的交易驗證體制，損害尚在控制范疇。由于聯盟鏈的做賬連接點比較有限，故鏈上具體內容的特殊變動，在中國行得通。

在失竊NFT先有些人實名驗證不正確，且失主明確的條件下，或可根據法院判決書等方法，一聲令下連接點從技術上將NFT討回，從而造成的成本費，讓粗心大意的平臺付錢應無不當之處。

寫在最終

NFT安全性窘境，來源于公鏈肯定的隨意，肯定的隨意＝肯定的放肆。恰似遠古時代向合同社會發展的銜接，NFT已在中國建立了已有的發展趨勢特點，安全性與可操控性正逐漸探索動態性的均衡。

NFT完成了區塊鏈資產土地確權這一關鍵性創舉，土地確權代表著可交易，可交易意味著數字經濟的可落地式，代表著元宇宙，這一技術創新的革命性危害已經一目了然。

但管控始終是落后的，恰似人民日報網的提問：NFT最后是通往元宇宙，亦或淪落大騙術？具體在于優先公司的責任和擔當，在于每一個從業人員——能不能在急躁中守住底線，堅定信念，銘記重任。

墾丁元宇宙精英團隊已公布《數據藏品平臺法律法規經濟藍皮書》，加創作者