應該隨時保持警惕,並採取以下幾項措施來保護自己的資產:使用雙重身份驗證(2FA)、定期更新錢包軟體、避免點擊不明連結,以及定期備份私鑰。
文/蔡孟凌
在先前的專欄〈區塊鏈智能合約的資安風險〉,我曾經分享過關於區塊鏈安全與智能合約漏洞的問題,今天要來跟大家更進一步討論加密貨幣交易的陷阱。
[ 推薦閱讀:防護公司帳號接管攻擊的 6 個最佳實踐 ]
當使用去中心化的加密貨幣進行交易時,在享受其無監管的自由度的另一面就是交易的風險自負,近年來「加密貨幣釣魚」更是時有所聞,常見的類型包含:「蜜罐騙局」、「零 U 攻擊」、「零幣釣魚」、「假 U 詐騙」、「首尾地址釣魚」。本篇將介紹近年來常見的加密貨幣釣魚手法,提醒大家在交易時應該注意的風險。
一、蜜罐騙局(TRON HoneyPot Scam)
在社交平台上,詐騙者可能會透過發布一些假訊息(圖 1),讓被害人誤以為他們可以將他人錢包內的加密貨幣佔為己有,當被害人完成詐騙者的指示後,以為可以得到高額的報酬時,卻因為早就失去該帳戶的權限(圖 2),而使加密貨幣被轉移給駭客,此手法稱為蜜罐騙局。
我們能夠從詐騙者提供的錢包地址中看到他們更新帳戶權限的過程(圖 3),每次的更改都需要支付 100TRX,因此可在鏈上帳本看到更改的紀錄(含時間)。
二、零代幣轉移(Zero Value TransferFrom)
此類詐騙者是讓自己能夠在未取得被害者私鑰的情況下,從被害者的錢包中發起交易。此攻擊只限用於「數量為零的交易」,對於一些粗心的用戶而言,可能會因為直接參考鄰近的交易記錄,而不小心將代幣發送給攻擊者。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
這樣的攻擊主要是利用一些代幣合約中存在的瑕疵,例如「TransferFrom」功能允許任何人將代幣從另一個人的錢包中轉移,只要攻擊者發送的代幣數量小於或等於地址所有者允許的額度。一般來說,允許的額度預設為零,除非它被特別設置為其他數字,這功能被定義在「allowance」函數中。因此,只要攻擊者的交易數量小於或等於零,他們就可以從任何錢包發送交易,而不需要私鑰或地址所有者的事先批准。
三、首尾地址釣魚
攻擊者從被害者的錢包中發送零代幣到一個與被害者稍早發送代幣的地址相似的地址(例如地址的前後四碼)。某些使用者會直接習慣去看過往的交易紀錄,並且只看地址前後幾碼,就認為那是他要發送的地址,而直接發起新交易。因此,他們可能會將代幣直接發送給攻擊者。
更常見的場景是攻擊者會監測鏈上交易的狀況,當發現有大額轉帳交易時,攻擊者會生成首尾相似的地址,並且利用 transferFrom 進行 0 代幣轉移,或是利用假的穩定幣(例如假 USDT)進行相同金額轉帳,進而污染使用者的交易紀錄,再加上粗心的使用者在轉帳時的一時不察,而導致將加密貨幣轉移給攻擊者。
[ 推薦閱讀:隱私 AI 發展應受重視、生成式 AI 調查 ]
在今年曾發生一起巨鯨遭釣魚事件,有 1155WBTC(當時市價約 7,000 萬美元)遭釣魚攻擊,由於數量相當龐大,在網路上掀起一番討論。
該事件之被害者在 2024 年 5 月 3 日早上 9 點 14 分轉帳 0.05 ETH 至 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91,攻擊者隨即在 9 點 17 分使用頭尾相似地址0xd9A1C3788D81257612E2581A6ea0aDa244853a91 發送 0 ETH 至被害人錢包,在 10 點 31 分被害人要再次轉帳時,就不小心誤把 1155WBTC 轉帳至攻擊者的地址。
被害人於 2024 年 5 月 4 日曾轉帳一筆交易給攻擊者,並在交易裡要求其返還大部分不法所得(圖 4),隨後在隔天被害者也再次透過鏈上跟攻擊者喊話,但仍未得到回覆。根據鏈上追蹤後發現,攻擊者已經將不法所得後續分散至數十個錢包,目前尚未被轉入中心化交易所。
以上是近期比較常見的釣魚手法,雖然攻擊者的手法也一直推陳出新,然而不變的還是針對人性出發,也就是當使用者因為使用習慣或是粗心大意而一時不察,就可能會落入釣魚的圈套。再加上區塊鏈不可逆的特性,不慎轉出去的加密貨幣通常要失而復得的機率也相對低許多。因此不論是否為新手交易,交易前務必要再三確認後再執行交易。
[ 閱讀所有 蔡孟凌 的文章 ]
此外,投資者應該隨時保持警惕,並採取以下幾項措施來保護自己的資產:使用雙重身份驗證(2FA)、定期更新錢包軟體、避免點擊不明連結,以及定期備份私鑰。透過這些方法,我們可以大大減少遭受詐騙攻擊的風險,保障自己的加密貨幣資產安全。
最重要的是,持續學習並關注最新的詐騙手法和防範措施,才能在這個迅速變化的數位世界中立於不敗之地。
(本文授權非營利轉載,請註明出處:CIO Taiwan)