為什麼 NFT 更需要冷錢包?
一個殘酷的事實是:NFT 被盜的機率比同等價值的加密貨幣更高。原因有三個:第一,NFT 的價格往往集中在單一代幣上(一隻 BAYC 就是幾十 ETH),攻擊者只要拿到一隻就能變現;第二,NFT 持有者經常需要和各種智能合約互動 — 鑄造、空投、質押、掛單 — 每一次互動都是一次簽名風險;第三,NFT 世界的釣魚網站極其猖獗,假的 mint 頁面、假的 claim 空投、假的 OpenSea 域名層出不窮。
把 NFT 放在 MetaMask 等瀏覽器熱錢包,等於把自己暴露在所有這些攻擊面下。而把 NFT 放進 ArcSign 這種 USB 冷錢包,私鑰永遠不離開裝置,日常只需要「觀看」時甚至完全不需要連線,是目前個人用戶能取得最強的防護。
真實案例2022 年一名 Bored Ape 持有者因為點了假的「Otherside 土地白名單」連結,一夕失去價值超過 2.4M USD 的 NFT 收藏。事後分析發現:所有 NFT 都放在熱錢包中,且曾對該釣魚合約簽下 setApprovalForAll。如果當時使用冷錢包並定期清理授權,這起悲劇完全可以避免。
2026 年 NFT 最常見的 5 種攻擊
了解攻擊面才能對症下藥。以下是 ArcSign 安全團隊整理的 2026 年 NFT 主流威脅:
1. 授權詐騙(Approval Phishing)
最常見的手法。攻擊者偽造成知名市場或鑄造頁面,誘騙你簽下 setApprovalForAll,之後隨時可以轉走你整個 NFT 集合。受害者通常在好幾週後才發現。
2. 假 mint / 假空投頁面
在 Discord、Twitter、Telegram 貼出和原始項目幾乎一模一樣的 URL(只差一個字母),要求你「免費 mint」或「領取空投」,實際上會直接讓你轉出 ETH 或簽下惡意授權。
3. 種子短語釣魚
攻擊者偽裝成「OpenSea 客服」、「MetaMask 支援」,以「帳號被盜請驗證」為由要你輸入助記詞。任何需要你輸入助記詞的連結都是詐騙 — ArcSign 用戶完全不需要也不會有這個輸入介面。
4. 0 ETH 訂單漏洞
某些 NFT 市場早年的 API 有 bug,攻擊者可以用幾乎為零的價格買走你之前掛過的舊訂單。如果你不定期清理過期訂單和授權,很可能在你不知情的時候被掃貨。
5. 剪貼簿劫持
惡意軟體會監聽你的剪貼簿,當偵測到你複製了 wallet address,就把它替換成攻擊者的地址。轉送高價 NFT 前一定要對照完整地址,或使用冷錢包上的顯示器再次驗證。
ArcSign NFT Gallery:跨鏈統一介面
ArcSign 的 NFT Gallery 是我們為收藏家設計的核心功能之一。無論你的 NFT 分散在哪條鏈,Dashboard 都會自動抓取並以統一介面顯示 — 不需要切換網路、不需要裝 6 個擴充功能。
1
跨 6 條鏈同步支援 Ethereum、Polygon、Arbitrum、Optimism、Base 與 BSC。其中 BSC 使用 NodeReal 的 nr_getNFTHoldings 增強 API,其他鏈透過 Alchemy 的 NFT API 抓取完整中繼資料。
2
ERC-721 與 ERC-1155 雙標準不論是獨一無二的 PFP 系列,或是 1/1 藝術品,還是 Gaming 常見的可堆疊道具(ERC-1155),都會正確顯示數量、集合、稀有度屬性。
3
懶加載與隱私模式媒體檔案透過內建圖片 Proxy 載入,避免 IP 洩漏給第三方 IPFS gateway。可以選擇「觀看模式」 — 只顯示地址的持倉但不連接任何網站。
4
不依賴第三方雲端所有資料都是即時從鏈上與官方 API 取回,ArcSign 不會把你的收藏資訊上傳到任何伺服器。你的收藏隱私只屬於你自己。
5 步驟把 NFT 移到 ArcSign
從熱錢包遷移到冷錢包的完整流程如下,全程約 15 分鐘:
1
準備 USB 並安裝 ArcSign到 arcsign.io 下載最新版本,安裝到任一支 USB 隨身碟(建議 16GB 以上)。ArcSign 是免費軟體,安裝後建立新錢包並設定強密碼。
2
設定 Alchemy API Key在 Dashboard 的 Provider 設定頁輸入免費的 Alchemy API Key,即可啟用 NFT Gallery 與跨鏈餘額抓取。若有 BSC 上的 NFT,建議同時加入 NodeReal key 以取得最完整資料。
3
立刻匯出 .arcsign 加密備份在還沒轉入任何資產前,先匯出 AES-256-GCM 加密的 .arcsign 備份檔。這個檔案匯出時就已經是完整加密狀態,可以安全地存到雲端或第二支 USB。
4
分批轉入 NFT(先轉最低價值)永遠不要一次轉送整個集合。先轉一個低價值 NFT 測試整個流程,確認到帳、確認 Gallery 能正確顯示後,再分批轉送貴重的資產。這是所有冷錢包遷移的黃金法則。
5
清理舊熱錢包的授權遷移完成後,務必回到舊熱錢包,使用 ArcSign Token Approvals 撤銷所有舊的 setApprovalForAll 授權。否則就算 NFT 不在舊錢包了,如果某天你因為疏忽把它們轉回去,那些舊授權還是會造成風險。
安全提醒轉送高價 NFT 時,永遠要完整對照收款地址(前 6 碼 + 後 4 碼不夠!)。ArcSign 會在簽名前顯示完整地址與要轉送的 tokenId,請務必逐字檢查。對照 釣魚攻擊防範指南裡的剪貼簿劫持示範。
授權管理:別讓舊 approvals 變成炸彈
這是 NFT 安全最被忽略的環節。你在 OpenSea、Blur、LooksRare、X2Y2 等市場掛過的每一筆訂單,背後都授權了對應的合約可以代你轉送 NFT。這些授權不會自動過期 — 有些甚至是「永久授權」。
風險場景:某個 NFT 市場的智能合約被發現有漏洞(2022 年 OpenSea 舊合約 Wyvern 就發生過),攻擊者就能透過這個漏洞掃走所有仍對該合約開放授權的 NFT,即使你早就不用那個市場了。
| 授權類型 | 風險等級 | 建議處理 |
|---|---|---|
| setApprovalForAll(集合級) | 極高 | 只留當前在用的市場,其他全部撤銷 |
| approve(單一 tokenId) | 中 | 交易結束後盡快撤銷 |
| 舊版 Wyvern / 過期合約 | 極高 | 立刻全部撤銷,沒有例外 |
| ERC-20 授權(Weth 等) | 中 | 限額授權而非無限,用完就撤 |
ArcSign 的 Token Approvals 功能可以跨 6 條 EVM 鏈顯示你所有的授權紀錄,並一鍵撤銷。Pro 用戶(ArcSign Pro NFT 會員)還能批次撤銷多筆授權,大幅降低 gas 成本。建議至少每季檢查一次。
用 WalletConnect 在市場安全交易
把 NFT 放進冷錢包並不代表你就不能交易。ArcSign 支援 WalletConnect v2,可以連接 OpenSea、Blur、Magic Eden 等主流市場。流程是:
1
在市場選擇 WalletConnect到 OpenSea 或其他市場點「連接錢包」,選擇 WalletConnect,會出現一個 QR Code 或連結。
2
用 ArcSign 掃描或貼上在 ArcSign Dashboard 開啟 WalletConnect 標籤,掃 QR 或貼上連結,確認連接請求(會顯示對方網域,再次確認是否正確)。
3
每次操作都檢查簽名請求掛單、出價、買賣時,ArcSign 會完整解析並顯示要簽的 EIP-712 結構化資料。務必看清楚要授權哪個合約、期限是多久、涉及哪個 tokenId。
Pro TipWalletConnect v2 支援短期授權。建議設為只授權一次或幾小時內有效,而不是無限期。這樣就算對方網站有問題,也只有一次機會影響你。
ArcSign vs 其他 NFT 儲存方案
| 方案 | 私鑰離線 | 跨鏈 Gallery | 授權管理 | 價格 |
|---|---|---|---|---|
| MetaMask | 否 | 部分 | 需裝外掛 | 免費 |
| Ledger + Ledger Live | 是 | 有限 | 無內建 | $149+ 硬體 |
| Trezor + Suite | 是 | 無原生 | 無內建 | $169+ 硬體 |
| ArcSign | 是(USB) | 6 鏈原生 | 內建一鍵撤銷 | 免費 |
相關閱讀:Ledger vs Trezor vs ArcSign 完整比較,以及 BTC + ETH + BSC 跨鏈管理教學。
常見問題 FAQ
Q:NFT 真的需要冷錢包保管嗎?
任何有價值的 NFT 都應該放進冷錢包。熱錢包雖然方便,但長期暴露在瀏覽器擴充功能、惡意網站、授權詐騙、剪貼簿劫持等攻擊面下。近年多起知名 NFT 被盜案例幾乎都來自熱錢包被釣魚。把 NFT 放進像 ArcSign 這樣的 USB 冷錢包後,私鑰永遠不離開裝置,攻擊者即使取得你的電腦也無法轉走 NFT。
Q:ArcSign 支援哪些 NFT 標準和鏈?
ArcSign 同時支援 ERC-721(獨一無二的 NFT)與 ERC-1155(可同時包含多個相同 token 的半同質化標準),並跨 6 條 EVM 鏈顯示:Ethereum、Polygon、Arbitrum、Optimism、Base 與 BSC。其他鏈以 Alchemy API 驅動,BSC 則透過 NodeReal 的 nr_getNFTHoldings 取得完整資料。
Q:冷錢包存 NFT 會不會很難操作?
不會。ArcSign 提供完整的 NFT Gallery 介面,可以直接瀏覽圖片、描述、集合資訊。需要上架 OpenSea 或接受報價時,透過 WalletConnect v2 連接市場即可,每筆交易仍由冷錢包簽名,但體驗跟熱錢包差不多。日常只觀看收藏時甚至完全不需要簽名。
Q:我之前給過 NFT 市場的授權怎麼辦?
這是最常被忽略的風險。每次在 OpenSea、Blur 等市場掛單時都會給予合約 setApprovalForAll 權限,讓它們可以動用你整個集合。ArcSign 的 Token Approvals 功能可以顯示你在 6 條 EVM 鏈上的所有授權(ERC-20 與 NFT 合約),並一鍵撤銷危險的舊授權。Pro 用戶還能批次撤銷多筆授權。