Blog

This is my archive

美國 SEC 的飢餓遊戲:Coinbase 被迫參賽,誰是下一個?

編按:美國是加密貨幣行業的領先者,其監管制度與執法動作對全球各國政府皆具有指標性意義。日前,美國證券交易委員會 (U.S. Securities and Exchange Commission, 後文統稱 SEC) 對 Coinbase 前員工提出內線交易指控,並此案中有關的 9 種加密貨幣列為證券,引起業界譁然。曾在美國聯準會(Federal Reserve System, Fed) 服務超過十年的 XREX 風控總監 邢智超 撰寫此文,爬梳事件的來龍去脈,他形容 SEC 缺乏一致性與透明度的針對性執法,就像是隨機挑選飢餓遊戲的參賽者一樣,讓業者無所適從並扼殺創新機會。邢智超也在文末提出三點務實的改善建議。 文 / 邢智超… Read More

XREX 反詐騙:九種常見的 Web3 駭客攻擊與詐騙手法

在前一篇文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》中,我們討論了何謂 Web3、Web3 世界中的攻擊事件與損失數據報告、駭客入侵平台與用戶帳號的企圖,以及三種 Web3 攻擊與詐騙方式。本篇文章將接續討論另外六種 Web3 駭客攻擊與詐騙手法,延續前面三種,本篇將從第四種詐騙手法開始。 四、社群媒體免費贈送詐騙 我們每天都會使用的各種社群媒體,例如:在 Facebook、Instangram、Twitter 等等,都是駭客常用的工具。駭客會在社群媒體註冊假帳號或盜用其帳號,偽冒知名企業、政治與各領域知名人士的身份,發文宣稱要送出加密貨幣,例如:「向我發送 1 顆以太幣,我將返還 10 顆以太幣給你」,引誘看見貼文的人上鉤。 去年底,印度總理莫迪擁有超過七千萬人追蹤的推特帳號被盜,駭客就發文宣稱有免費的比特幣,要大家快來搶,因為是擁有藍勾勾認證的帳號,又是印度總理,很容易讓人信以為真,但是只要點擊貼文中的連結,就會面臨資安風險。 這些社群媒體上的貼文,引誘其他人去點擊特定連結,或是發送加密貨幣到特定地址以換取更多加密貨幣,這些都只是駭客用來吸金的話術。更可怕的是,在受害者向駭客索討受騙金額時,駭客還可能以「需要再向我發送 30% 手續費」等說法,再次行騙。 圖 4.1 / 駭客利用假冒的粉絲專頁,分享其他帳號的大頭貼照,吸引帳號擁有者的注意 圖… Read More

Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術

Web3 是近幾年來的搜尋關鍵字,在許多新聞報導、國際會議、產業研討會以及金融創新相關的討論,都可以看到 Web3 的討論,圍繞在區塊鏈以及加密貨幣帶來的創新與突破;於此同時,也因為相關技術仍處於早期,濫用的情況頻傳,很多人對於 Web3 世界中的詐騙、洗錢和駭客攻擊充滿恐懼。本文從 Web3 概念的討論開始,由加密貨幣平台 XREX 的資安團隊由淺入深地了解 Web3 世界中的資安觀念,解析駭客手法,並提供讀者務實的建議,用以保護自己的個資和數位資產。 什麼是 Web3? 1990 年代開始,網路慢慢地深入人類生活的各個層面,從日常生活到政治經濟,一直到我們的學習方法、通訊方式、交友模式與對時空距離的概念,都受到網路這個新興科技的影響。過去 30 年來,全球數十億人都成為全球資訊網中的一員。然而,沈浸於以網路為基礎的強大 IT 設施的同時,我們也正面臨極大的挑戰與入侵。少數科技巨頭壟斷了網路產業,也同時也壟斷了權力,可以單方面決定允許什麼、不允許什麼。 「網路+電腦」是 Web1.0 的時代,「網路+移動式裝置」則是 Web2.0。在 Web1.0… Read More

XREX 履約保證型 BitCheck 新增合約功能,為支付與 P2P 交易再添一層保護

如今我們在世界各地,已經看到了無數的數位貨幣應用實例,從質押到 NFT,再到遊戲代幣和參與 DeFi 項目,以區塊鏈技術為基礎的數位貨幣世界有無限的可能,人類對它的想象不該受限。 最重要的是,數位貨幣的誕生重新定義了我們生活中大量依賴的一件事:支付。 美國聯準會的一份報告談及 USDT 和 USDC 等穩定幣,寫道:「具有刺激支付系統成長和創新的潛力,讓支付變得更快速,成本也更低廉。」 這份報告還引用了世界銀行 2020 年發表的一份報告,內容指出:「(穩定幣)對跨境轉帳尤其重要,因為既有轉帳系統可能需要好幾天的時間才能清算,且費用高昂。這些費用和延遲經常造成中低收入國家的負擔,因為這些國家的人民依靠跨國轉帳才能取得必要的財務支持。」根據世界銀行的同一份報告,平均每一筆匯款的交易手續費高達 6.5%。 在服務印度和其他新興市場的過程中,XREX 觀察到穩定幣做為支付和加密貨幣交易媒介有大量需求。從 2020 年推出產品以來,XREX 獨有的履約保證型 BitCheck,已經幫助跨境商人、中小型企業和加密貨幣交易者,完成了數十萬次的交易。BitCheck 是由 XREX 提供的線上履約保證服務,確保資金的安全,直到交易雙方履行他們的交易義務。 XREX 本月推出… Read More

XREX 資安長開源兩套 Web3 資安工具 強化智能合約安全開發

編按:XREX 資安長暨總經理 Sun Huang 擁有超過 15 年的國際資安經驗,並獲得 Offensive Security Certified Professional (OSCP)、Certified Ethical Hacker (CEH)、AWS Certified Security — Specialty (AWS ACS) 等國際資安執照及認證。近期,Sun 開源兩套 Web3 資安工具,協助工程師與開發者強化智能合約安全開發。Sun 撰寫本文,分享開發工具的緣由,並分享實例示範如何使用這兩套工具。 做為… Read More