加密市場的惡意詐騙層出不窮。本文精選常見的六大詐騙手法(網路釣魚、Rug Pull、零 U 攻擊…),同時分享該如何防範、提升資產安全。
(前情提要:Rug pull 套路拆解:近2萬個拉地毯項目,詐騙者最終在DeFi套現)
(背景補充:報告:北韓駭客偽裝「加密貨幣VC」,釣魚誘導投資者安裝惡意軟體)
加密貨幣市場不畏幣價的漲跌,仍持續蓬勃發展。但與此同時,惡意詐騙也是層出不窮,受害事件時有所聞。快速變動的幣圈有很多致富機會,但同時也暗藏許多風險。
下文動區為您整理六種最常見的詐騙手法,希望可以幫助讀者提高警覺,學習怎麼保護好自己的資產。
常見詐騙手法一:網路釣魚/惡意合約
網路釣魚詐騙其實已存在多時,例如你可能會收到一封通知你「帳號出現安全問題」的電子郵件,並要求你登入修改帳號密碼。殊不知當你點擊信中連結時,就會被導入到與原始平台非常相似的釣魚網站,伺機獲取你的隱私資訊。
在幣圈常用的 Discord 或是 Telegram 等社交平台中,也很常傳出攻擊者在盜取管理員身份之後,發送「免費空投訊息」、「高報酬抽獎」或是私下與用戶聯繫,讓受害者無意間給出個人資料或助記詞的攻擊事件。
延伸閱讀:啾啾鞋自白!領NFT空投遭假Metamask釣魚,錢包資產3分鐘被盜領一空
延伸閱讀:慎防釣魚|統計 : 6月Discord NFT詐騙增55%、損失2200萬美元、攻擊源疑自中國
另外在進行 DeFi 操作時,用戶也需要注意是否真的在與實際項目互動,常有惡意人士會註冊看起來與項目非常相似的網域名稱和假網站,當你在粗心的狀況下簽署時,錢包資產就會被盜竊一空。(Google搜索引擎的搜尋結果前幾名,常常出現詐騙的廣告釣魚網站,務必小心謹慎)
簡而言之,當你發現有可疑的線索時,請提高警覺或與項目方官方管道進行確認,或者執行操作時確定是否網址為正確,與其它管道(Twitter、Discord、Telegram 等)提供的網址是否皆為一致、切記不要透露你的私鑰或助記詞給任何人。
詐騙手法二:惡意應用程式
我們已經很習慣在 Apple Store 或 Google Play 下載應用程式,但有心人士會刻意模仿當前一些熱門的項目,例如錢包或遊戲,誘導用戶下載。
一旦用戶安裝了惡意應用程式,並真的往地址轉移資金時,實際上則是在向詐欺者的地址發送資金。因此下載前務必確定是從官方連結、或可靠來源進行下載,保持謹慎。
此外也要小心常用的設備不要下載可疑的軟體,以免偽裝成一般應用程式的軟體伺機攻擊。所以更加注意安全性的用戶,會將常用來交易加密貨幣的設備保持乾淨。
延伸閱讀:安卓惡意軟體GodFather「盜取2FA驗證碼」,逾200種加密錢包遭攻擊
常見詐騙手法三:項目方 Rug Pull
發行加密貨幣其實不難,任何人只需少許資金就能「複製」其他代幣的智能合約,將其上線主網,這種便利性也構成了詐騙者的天堂、交易者的夢靨 — 拉地毯(Rug pull)。
據一篇統計 2020 年 4 月到 2021 年 9 月的研究報告,在分析了近 2.7 萬個在 Uniswap 上架的代幣後,發現僅有 631 個屬於「非惡意的」,也就是有高達 97.7% 的上架代幣都可能 Rug pull 或是相當可疑。
這些項目通常力求在短時間內收集投資者的資金,並捲款潛逃。由於加密貨幣法規尚未完善、加上不易追蹤的特性,受害者們往往求助無門。
比較有名的案例如動區此前曾報導的魷魚幣 SQUID,當時該項目藉著 Netflix 熱門影集魷魚遊戲爆紅,幣價雙日漲幅達 5571%,但官方隨即砸盤,從歷史高點 2,856.64 美元近乎歸零,至少 210 萬美元遭項目方捲走。
更多查明項目真實性的方法,可以參考本篇文章:如何判斷軟地毯騙局 (Rug Pull) ?4 大觀察重點明辨項目真實性
常見詐騙手法四:假交易所、高報酬投資
為了買賣交密貨幣、或進行各種投資行為,用戶會去註冊交易所,除了市場上常聽到的幣安(Binance)、Coinbase、火必…之外,其實幣圈還充斥著許多小型的交易平台。
有些小型交易所在社群提供不合常理的高獲利投資、或是用賺大錢用戶的案例,吸引新用戶加入。起初投資頁面或許還正常、帳面上也確實賺到了錢,誘使用戶投入更多資金;但是當用戶有天想出金取回法幣時,才發現一切都只是紙上富貴,甚至有些交易所會祭出各種名目阻止用戶提款(要先匯款一筆USDT所得稅)。
為了避免發生這種狀況,當你聽到一個新交易所時,最好先上網搜尋相關資訊、做好功課,選擇有信譽,或有提供資產證明的交易所,當提供太好的獲利方案時也要特別提高警覺。
常見詐騙手法五:零 U 投毒攻擊
近期有多個區塊鏈上頻繁出現零 U 轉帳現象,駭客透過發送首尾相同的地址來迷惑使用者,使粗心大意的使用者以為那是目標地址,進而轉帳至錯誤錢包。其詐騙手法可以簡單分為 3 步:
- 詐騙者監控你正常轉帳的交易
- 使用地址生成器創建一個與你轉帳對象相近的地址(駭客可以在幾秒內生成與用戶互動地址前後 7 位相同的錢包)
- 用生成的雷同地址向用戶轉帳 0 美元
完成以上步驟後,被攻擊者的交易歷史中,就會摻雜錯誤的雷同地址,只需靜靜等待被攻擊者在下一次轉帳時發懶惰,選取較近交易的近似地址,即可完成詐騙。
小狐狸錢包 Metamask 表示,雖然該攻擊手法簡單,但特別容易成功,為防止更多人遭受攻擊並蒙受錢財損失,也公告提出以下 5 點安全建議 :
- 在轉帳前務必多次確認地址,尤其是涉及金額較大時,檢查每個字符是確保安全的唯一方法
- 避免從歷史交易複製地址的行為
- 使用冷錢包,通常會再次提醒用戶檢查轉帳地址
- 將常用地址添加至地址薄
- 考慮先進行一筆測試交易
常見詐騙手法六:社交送禮騙局
在 Twitter、Facebook 或 Telegram 等常見的社群平台,常會看到有人在知名人士的發文中回覆類似以下的訊息:「如果你發送比特幣到以下地址,我就會返回雙倍代幣給你。」
在 2020 年 7 月時,就曾爆發推特史上最嚴重的駭客事件,包括歐巴馬、特斯拉 CEO 馬斯克、比爾蓋茲、美國民主黨總統候選人拜登…等名人帳號皆被盜取,發佈了關於回饋社群比特幣的釣魚詐騙貼文。
這類型貼文幾乎都是運用人們貪婪的心理,但毫無疑問的是,一旦你把資產轉到攻擊者的錢包,資產就再也拿不回來了。
延伸閱讀:Beeple推特遭駭、發假 LV NFT 抽獎!駭客詐走 43.8 萬鎂,含MAYC、Otherdeeds…
📍相關報導📍
匯豐銀行CEO嗆 : 不看好加密貨幣!HSBC不會涉足交易所服務
