fbpx
Products BitCheck Exchange Earn Clubs XRAY Company About Contact Career Newsroom

Blog

XREX 反詐騙:九種常見的 Web3 駭客攻擊與詐騙手法

在前一篇文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》中,我們討論了何謂 Web3、Web3 世界中的攻擊事件與損失數據報告、駭客入侵平台與用戶帳號的企圖,以及三種 Web3 攻擊與詐騙方式。本篇文章將接續討論另外六種 Web3 駭客攻擊與詐騙手法,延續前面三種,本篇將從第四種詐騙手法開始。

四、社群媒體免費贈送詐騙

我們每天都會使用的各種社群媒體,例如:在 Facebook、Instangram、Twitter 等等,都是駭客常用的工具。駭客會在社群媒體註冊假帳號或盜用其帳號,偽冒知名企業、政治與各領域知名人士的身份,發文宣稱要送出加密貨幣,例如:「向我發送 1 顆以太幣,我將返還 10 顆以太幣給你」,引誘看見貼文的人上鉤。

去年底,印度總理莫迪擁有超過七千萬人追蹤的推特帳號被盜,駭客就發文宣稱有免費的比特幣,要大家快來搶,因為是擁有藍勾勾認證的帳號,又是印度總理,很容易讓人信以為真,但是只要點擊貼文中的連結,就會面臨資安風險。

這些社群媒體上的貼文,引誘其他人去點擊特定連結,或是發送加密貨幣到特定地址以換取更多加密貨幣,這些都只是駭客用來吸金的話術。更可怕的是,在受害者向駭客索討受騙金額時,駭客還可能以「需要再向我發送 30% 手續費」等說法,再次行騙。

圖 4.1 / 駭客利用假冒的粉絲專頁,分享其他帳號的大頭貼照,吸引帳號擁有者的注意
圖 4.2 /假冒帳號在本尊的推文底下留言,並且立刻安排多個假帳號附和、按讚
圖 4.3 / 駭客直接盜用官方認證帳號,騙取使用者信任

 

如何防範免費贈送詐騙呢?XREX 建議您:

  1. 多方驗證消息來源,請勿聽信任何免費贈送的廣告。
  2. 對於免費贈幣、以一換十這種「好得不真實」的活動,必須三思。
  3. 必須謹記,去中心化金融不存在反悔操作,錢轉出去就回不來了。
  4. 對任何轉帳或授權有關的錢包應用程式彈出式視窗,保持謹慎。

 

五、龐氏騙局 — 高報酬投資詐騙

「龐氏騙局」是大家經常聽見的名詞,但究竟什麼是龐氏騙局呢?基本上,龐氏騙局的運作模式是以投資為名,以高額回報誘騙受害者投資。龐氏騙局通常第一眼看,會覺得與普通證券基金的模式無異,但在龐氏騙局中,投資回報事實上是來自後面加入的投資者,而不是公司自身盈利。

龐氏騙局最初發生於 20 世紀初的美國,吸引第一批投資人之後,不斷再拉入更多投資人將資金投入項目。實際上,項目並沒有盈利,而是將後期投資人的資金變成了早期投資人的利息,今天我們經常聽到的「資金盤」或「老鼠會」,就是龐氏騙局的各種變體。

如何判斷龐氏騙局呢?龐氏騙局的常見特徵是模糊不清的經濟模型,也就是項目本身很難運作也不知其獲利來源,卻可以承諾投資人明顯不合理的高收益報酬率,從以下的平台與對話截圖就是實例。

圖 5.1 / 平台提供日收益率達到 2.72% 的理財產品,相當於年化報酬率 1000%,極不合理
圖 5.2 / 平台宣稱自動提單套利、預判指標與分析師與內線消息老師,引誘使用者投資

 

如何防範龐氏騙局詐騙呢?XREX 建議您:

  1. 建議使用擁有牌照、合法合規且背後團隊清晰的交易所,例如 XREX 在美國、加拿大立陶宛、愛沙尼亞與台灣,都完成相關的登記、反洗錢規定以及許可,同時也正在申請新加坡與杜拜的執照。
  2. 勇於質疑,對於平台提供的消息與資訊必須再次驗證其真實性,不讓詐騙集團打模糊戰,例如: 套利與挖礦是否正相關、分析師履歷真實性等等。
  3. 思考報酬率是否合理、是否偏離市場行情,切忌 FOMO (Fear of missing out)。

 

六、項目方捲款跑路 Rug Pull

項目方捲款跑路又稱「拉地毯」(Rug Pull),是加密貨幣中的一種詐騙形式。Rug Pull 一詞泛指項目方募集了資金之後就放棄經營項目,同時在發行代幣衝上一定價格時,短時間內拋售項目方手中的發行代幣,一瞬間使投資人擁有的發行代幣變得分文不值。

近年來最著名的,就是在 Netflix 韓國原創劇集《魷魚遊戲》掀起全球風潮,結果出現了一個利用戲劇噱頭發行的代幣魷魚幣(SQUID),短短一星期內漲幅數十萬倍,卻又一瞬間崩盤,投資人血本無歸又無處求償。

Rug Pull 也可能發生在未經過資安審計的智能合約上,項目方可以透過在代幣合約裡留下後門,並在募集資金之後操控代幣供應量。

圖 6.1 / 非 Netflix 官方或《魷魚遊戲》劇組團隊發行的魷魚幣 (Squid Coin),七天內代幣價格從 $0.01 衝到 $2861,又一瞬間崩跌至 $0.0008

 

如何防範項目方捲款跑路 Rug Pull 呢?XREX 建議您:

  1. 挑選項目時,必須要先了解項目團隊的 Linkedin、研究項目的白皮書等資訊。一個正常的項目,白皮書的內容絕對不是空泛的,其中也必須包含、長期目標、項目所解決的問題、背後技術說明,以及團隊真實性等等。
  2. 大部分的項目會使用中心化或去中心化交易所進行募資,可以觀察項目代幣是否被前幾名去中心化交易所認證,並且透過鏈上數據分析,觀察項目代幣的交易量、流動性狀況。
  3. 確認智能合約是否有經過多家資安公司審查,以及審計報告是否有開源。
  4. 觀察社群媒體對該項目的討論熱度,是否有機器人炒熱流量。

七、助記詞釣魚 Seed Phrase Phishing

助記詞 (Seed Phrase) 通常是 12 到 24 組的英文單詞,設計原意是方便讓用戶管理錢包私鑰,當使用者忘記私鑰時,助記詞可用來恢復私鑰,並讓使用者重新訪問錢包。我們可以想像錢包私鑰就像是註冊在 Medium 帳號密碼,當你忘記密碼時,網站通常會提供「忘記密碼」的功能,欲恢復密碼會需要驗證註冊郵件信箱以及 Email 與一次性密碼 (​​one-time password, OTP)。

註記詞的設計用意是能夠透過密碼學達成「恢復密碼」的功能,所以只要任何人得到你的助記詞,就有權限訪問你的加密資產。

圖 7.1 / 一個售價明顯低於市場行情的假 OpeaSea NFT 市集,在交易時要求使用者輸入助記詞

 

如何防範助記詞釣魚呢?XREX 建議您:

  1. 永遠不要洩漏助記詞,助記詞只會用來恢復錢包,沒有其他用途。
  2. 請妥善保管助記詞,會需要輸入助記詞的應用程式,一律是詐騙。
  3. 發現可疑網站即時回報,共同守護去中心化生態系的安全!

 

八、假冒錢包與插件

假冒的錢包或錢包插件,會套用正版錢包的介面與設計,讓用戶誤以為是項目官方的網站,但駭客實際上在假冒錢包與插件的後端程式碼偷設後門,駭客可竊取錢包的助記詞 (Seed Phrase) 來盜取使用者的資產。

圖 8.1 / 假造的 MetaMask 瀏覽器插件下載。圖片來源 / Objective-See
圖 8.2 / 偽冒的 AppStore 要求使用者下載描述檔,安裝後即可從不受信任的來源下載具有後門的 MetaMask。圖片來源 / Objective-See

如何防範假冒錢包與插件,避免安裝可疑行動應用程式呢?XREX 建議您:

  1. 永遠不要在越獄裝置或已 Root 裝置使用加密貨幣。
  2. 一定要從官方來源,如:Apple AppStore 或 Google Play Store 下載行動應用程式。
  3. (僅限蘋果 iOS) 不要安裝或信任來源不明的描述檔,這可能會使你在無意間安裝惡意程式。

 

九、批准授權詐騙 Approval Scam

除了讓受害者主動轉帳資產給駭客這類「傳統詐騙」以外,在智能合約中,可以設定使用者是否要授予 ERC20 Token 轉帳權給某地址。ERC20 Approve 的設計原意,是為了讓智能合約有權動用使用者的資產,舉例來說,使用者授予某套利合約轉帳權限,套利合約就可動用使用者的資產,在去中心化交易所自動地進行搬磚套利。

然而 ERC20 Approve 這樣的設計,也成為駭客濫用的工具。駭客透過釣魚手法,讓使用者在無意間簽署批准轉帳授權的交易,當使用者未嚴格確認自己所簽署的交易內容就送出時,駭客即可取得受害者錢包的資產轉移權,透過 ERC20 Token 合約的 transferFrom 功能,將受害者的資產轉移至自身錢包。

近期最知名案例,就是台灣歌壇天王周杰倫的 NFT 無聊猿遭盜,以及駭客濫用 NFT 平台 OpenSea 發動新型態詐騙,先是隨機空投用戶,之後故意在平台上炒高價格,出價引誘受害者至釣魚網站

圖 9.1 / 駭客在研討會上張貼虛假的 QRCode,宣稱可領取免費會場 NFT,將用戶引導至釣魚網站
圖 9.2 / 駭客宣稱可以領取免費的 NFT,但交易內容實際為使用 setApprovalForAll 函式,授予駭客轉帳權限

 

如何防批准授權詐騙呢?XREX 建議您:

  1. 不小心授權給不明地址時,請即時撤銷權限,避免進一步損失。
  2. 執行交易前請確認交易內容,避免執行到意料之外的操作。
  3. 發現可疑網站即時回報,共同守護去中心化生態系的安全!
  4. 定期檢視地址授權狀況,為不明地址撤銷權限,以下三個是常用工具:
    1. https://etherscan.io/tokenapprovalchecker
    2. https://revoke.cash
    3. https://approved.zone/

結語

Web3 概念與應用還在相對早期,其去中心化的特性,確實可以為人類世界帶來巨大的變革,尤其是在金融領域。但於此同時,平台以及用戶也必須清楚地知道,Web3 世界中還是暗藏了許多風險,必須要時刻謹記並加以防範。

XREX 以資安起家,在用戶實名驗證、反洗錢機制與打擊不法份子上一直不留餘力,也與國際頂尖的區塊鏈金流追蹤夥伴結盟,包括萬事達卡旗下的 CipherTrace 與摩根大通投資的 TRM Labs,方能與銀行對接,共同打造一個乾淨的交易環境。XREX 的使命是「共同改寫金融定義」,希望可能透過分享相關的資安知識,在推進全球普惠金融的同時,也協助用戶保護其權益及資產。

本文是 XREX 資安團隊,針對近期常見的 Web3 攻擊手法與話術整理的介紹,希望可以協助更多人認識到自己與惡的距離,並隨時保持警覺,以免落入圈套。

在 Web3 應用快速發展的同時,駭客與不法分子的攻擊手法也快速變化,難以記錄下所有的可能性,下方 XREX 資安團隊也精選了幾篇與資安相關的文章,希望提升所有 Web3 參與者對於資安的意識與警醒。

 

共同編撰:Sun Huang / Wolf Chan / Seal Cao 曹富翔 / Yoyo Yu 尤芷薇

相關文章:

XREX 官方聲明:切勿向他人提供帳號資訊,免淪詐騙集團車手
XREX揭露比特幣詐騙集團 N-Fiverr 之手法、工具、人頭戶、金流、錢包、網域、IP
慢霧出品:区块链黑暗森林自救手册 || 掌握这些,掌握你的加密货币安全。

More from Blog

Announcements

26/01/2022

XREX Acquires Money Services Business License from Canada’s FINTRAC

Announcements

01/09/2023

XREX Hosts Stablecoin Summit Singapore 2023: Gathering CBDC, Stablecoin, and Payments Experts from Circle, Mastercard, and Coinbase

Product Updates

19/07/2021

XREX Circles: Trade Together, and Earn Money

Editor’s Picks

NewTech Friday: XREX – Enhancing cross-border trading and security for SMEs

Blog

30/08/2024

NewTech Friday: XREX – Enhancing cross-border trading and security for SMEs

Stablecoin Summit 2024 Returns to Singapore – Leaders of DeFi and Traditional Finance Convene to Foster Blockchain Finance Adoption

Announcements

29/08/2024

Stablecoin Summit 2024 Returns to Singapore – Leaders of DeFi and Traditional Finance Convene to Foster Blockchain Finance Adoption

RegTech XRAY Launches Web Version with Free Access and AI-Powered Crypto Flow Analyst

Anti-Fraud, AML and Fund tracing

08/08/2024

RegTech XRAY Launches Web Version with Free Access and AI-Powered Crypto Flow Analyst