fbpx
Products BitCheck Exchange Earn Clubs XRAY Company About Contact Career Newsroom

Anti-Fraud, AML and Fund tracing

2024 兩大錢包詐騙手法!控制權如何被奪走?假地址蒙蔽雙眼?真實案例、實用工具大公開

重點摘要

  • 據區塊鏈智慧合約審計公司 CertiK 數據,光是 2024 年第一季,在區塊鏈上就發生了 223 次駭客攻擊,盜走價值超過 5.02 億美元的數位資產。保管虛擬資產的「錢包」(Wallet),就是駭客最想鎖定的目標。
  • XREX 整理了 2024 兩大錢包盜取手法「冰釣攻擊」和「地址投毒」,搭配真實案例、實用建議與工具,跟你一起守護錢包安全。

文 / 鄭婷宇 Claire

「自己的錢自己管」雖然是區塊鏈技術的一大優點,但一不小心,辛苦累積的資產可能也會一夕之間消失。據區塊鏈智慧合約審計公司 CertiK 數據,光是 2024 年第一季,在區塊鏈上就發生了 223 次駭客攻擊,盜走價值超過 5.02 億美元的數位資產。

保管虛擬資產的「錢包」(Wallet),就是駭客、詐騙集團最想攻破的寶庫,常見的手法有哪些?我的錢包有沒有危險?

XREX 整理了 2024 兩大錢包盜取手法,以及真實案例,搭配實用的建議與工具,跟你一起守護錢包安全。

兩大常見錢包詐騙手法

「冰釣攻擊」和「地址投毒」是兩大常見的加密貨幣錢包詐騙,前者,指的是奪走對方錢包的控制權,來盜取裡面的虛擬資產;後者,指的是用假地址矇騙用戶雙眼,誘使對方將款項轉到詐騙份子的錢包內。

這兩種手法,通常會搭配不同的詐騙劇本執行,共通點,都是會先用假的「好康」吸引受害者的注意力,接著一步步引導受害人,走進預先設置好的陷阱,神不知鬼不覺得打開受害者錢包,盜走加密資產。

冰釣攻擊:誘使受害人授權惡意交易,奪走錢包控制權

「搶先註冊!卡位超值的投資機會!」限時、充滿誘惑的文案包裝,容易讓人一不小心就上鉤,忽略了背後的陷阱與風險。

冰釣攻擊的詐騙者,通常會先營造一個緊張高壓的情境,讓受害者在慌亂中忽略查證,在倉促之下,簽署詐騙犯捏造的智慧合約,親手將自己的加密資產送給詐騙者。

冰釣與釣魚(phishing)攻擊的共通點,是都會誘使受害者點擊假的網站,但背後的目的不太一樣。

冰釣攻擊的目的,是要誘騙受害者簽署假的區塊鏈交易,並取得受害者的錢包權限;釣魚的目標,則是透過病毒、駭入等手法,獲取受害者的密碼、聯絡號碼等私人資訊。

常見的冰釣手法有以下三種,只要一不小心上鉤,就可能交出錢包控制權。

  1. 發送假交易請求:駭客將惡意交易,偽裝成合法的智慧合約,或看似無害去中心化 App(dApp)。
  2. 發送假的批准請求:駭客將惡意交易,偽裝成 dApp(去中心化應用程式,建構在區塊鏈上的 App) 的常規操作,並要求受害者批准請求,通常很難立即察覺陷阱。
  3. 更改交易內容:駭客偷天換日,更改交易細節,例如:將交易資產的目的地,從預定的交易對象,改成駭客的錢包。

真實案例: 親手奉上百萬美元無聊猿 NFT

一名駭客在 2022 年,利用 NFT 交易平台 OpenSea 上,一個鮮為人知的功能發動冰釣攻擊,竊取價值數百萬美元的無聊猿(Bored Ape Yacht Club ) NFT 。

OpenSea 平台透過錢包簽名,來批准交易、登入網站,而簽名的介面上,通常會顯示一大串一般人難以理解的訊息,很少有人會仔細的閱讀,以及查詢背後的意思。

看準這點,駭客設計了一個價格為「0 以太幣」的無聊猿 NFT 交易,並偽裝成登入訊息發送給詐騙目標,受害者不疑有他簽名授權的當下,其實就是批准以「0 以太幣」,把高價的無聊猿 NFT 免費送給駭客。

Harpie 在自己的 X 上警告這類詐騙。圖片來源:gncrypto

真實案例:埋下惡意程式碼,10 小時盜走 1.21 億美元加密資產

駭客在 2021 年 11 月,入侵了DeFi 協議 Badger DAO 的智慧合約前端設施,取得 Cloudflare API 金鑰,藉此在 Badger 的網站上,埋入一段惡意的程式碼。

每當用戶操作 Badger 網站,這段惡意程式碼就會啟動,並提示使用者簽署一樁授權交易。 一旦授權,加密資產便被轉移到駭客的錢包。駭客只花了 10 小時,就從將近 200 個帳戶中,盜取價值約 1.21 億美元的加密資產。

地址污染:用假地址矇騙用戶雙眼

交易加密貨幣最重要的「錢包地址」,由數十個大小寫英文、數字組合而成,不僅長度很長,而且排序毫無邏輯。

因為錢包地址不好記憶,通常一般人要從錢包轉出加密資產時,都是直接複製貼上,頂多檢查一下頭尾的字母、數字是否正確,很少會從頭到尾確認一次,這項人性的弱點,就被詐騙者利用在地址污染上,執行「零 U 投毒」和「首尾地址釣魚」等詐騙手法。

零 U 地址投毒

習慣從交易歷史紀錄,直接複製錢包地址的用戶要注意了。詐騙者通常會先監控目標對象的轉帳習慣,掌握幾個時常往來的交易地址後,就會生成一個頭尾字母相近錢包地址,接著用這個地址,向詐騙對象發送假的、低價值的 NFT、代幣。

如此一來,受害者的交易歷史中,就會摻雜這些錯誤的地址,下一次交易時若沒有檢查,一但複製到假的地址,就會把虛擬資產直接轉入詐騙者的錢包中。

如果在錢包中,發現收到來歷不明的加密資產,不需要太過擔心,這些資產不會對帳戶產生立即的威脅,但建議不要使用這些 NFT 或 代幣,因為詐騙犯可能會埋藏惡意連結。

 

以這張圖為例,錢包地址的結尾是 0451cb。圖片來源:mirror.xyz
攻擊者以結尾 ff451cb 的錢包地址,發送 0 BSC-USD 到攻擊目標的錢包內。圖片來源:mirror.xyz
釣魚的假錢包地址,跟真錢包地址首尾相同,讓使用者乍看之下難以分辨。受害者在沒有仔細確認下,發送 1000 USD 到攻擊者的錢包中。圖片來源:mirror.xyz

真實案例:複製錯誤地址,幣安資深交易員也差點中招

今年(2024)5 月,駭客在受害者正常交易後的三分鐘,轉入一筆 0 ETH 到受害者的錢包,受害者不察,從歷史紀錄中複製到釣魚位址,將 1155 枚 WBTC 轉帳給駭客,駭客隨後將這筆資產,全數兑換成 22,960 枚 ETH(約為 6800 萬美元)

就連全球第一大的交易所幣安(Binance)去年(2023)也差點中招。一名資深交易員在轉出 2000 萬 USDT 時,複製到了詐騙犯的錢包地址,所幸交易員即時發現錯誤,向 Tether 請求凍結 USDT,在最後一刻保住資產。

避免錢包地址詐騙!培養四大良好交易習慣

錢包詐騙,大多是利用人性的粗心與懶惰,因此在交易虛擬資產時,一定要建立以下四個良好的使用習慣。

  • 勿輕信來路不明的資訊:要執行任何錢包授權操作時,,務必仔細確認網站、dApp、智慧合約的真實性,以及避免點擊不明訊息中的連結。
  • 開啟兩階段驗證(2FA):開啟兩階段驗證,可以防止錢包未經授權的訪問。
  • 定期檢查錢包的交易紀錄、授權對象:定期檢查是否曾收到陌生錢包轉入的資產,以及錢包被授權給哪些人連通。
  • 確認交易錢包地址是否正確:交易時,避免直接從交易紀錄中複製錢包地址,務必再三確認全部的地址,也可以考慮建立白名單,在交易時從白名單裡複製錢包地址。

XREX 於今年(2024)6 月,推出反詐錢包查詢工具 XRAY,透過 Line 機器人就能查詢地址詳細資料,包括:錢包地址屬於哪個國內外交易所、存放的資產種類與數量有哪些等等,許多日常情境都很適合使用。

以前面提到的「地址污染」詐騙手法來說,如果不確定交易地址的安全性,或是懶得逐個字母確認整串地址,就可以使用 XRAY 確認要交易的錢包地址,是否存在風險或疑慮。

又或者遇到更常見的「情感詐騙」,當線上交友的對象,要求以加密貨幣匯款時,同樣可以用 XRAY ,確認該錢包內是否真的有錢,或者該錢包是否真的屬於對方口中所述的交易所錢包。

對監管單位、檢警調來說,在詐騙案發生時,也便於第一時間查明幣流,即時阻詐。

參考資料:

###

XREX 集團進軍監管科技!推出 XRAY 反詐錢包查詢工具 

XREX 推出 XRAY 區塊鏈錢包地址查詢工具,協助一般大眾與檢警調人員準確識別區塊鏈錢包地址、風險資訊,透過國際頂尖技術追蹤可疑金流,協助檢警打擊鏈上金融犯罪。

現已推出 LINE 機器人「免費基本版」與「免費進階版」,未來也將推出網頁版並開放 API 串接,更有效調查比特幣(bitcoin)、泰達幣(USDT)、加密貨幣資產等詐騙。

透過 XREX XRAY 查詢加密貨幣交易所、詐騙網站、可疑錢包等風險資訊,也能透過 XREX XRAY 分析加密貨幣交易所資訊。申請並開通 XRAY 「免費進階版」服務請填寫此表單,了解更多 XREX XRAY

關於 XREX 集團

XREX 集團是一家因區塊鏈技術而生的國際金融機構,與銀行、政府及用戶密切合作,共同改寫金融定義。我們提供企業級的服務,幫助位處發展中國家或與發展中國家有生意往來的中小型企業處理跨境金融服務,同時也為全球加密貨幣新手提供最友善的初始入口。

創立於 2018 年並已取得多國執照在全球營運,XREX 集團提供一站式的服務,包括:數位資產託管、錢包、跨境支付、法幣與加密貨幣轉換、加密貨幣交易所、多元化資產投資、法幣出入金服務等等。

XREX 集團將普惠金融視為社會責任並希望為此盡一份心力,持續運用區塊鏈技術推進金融參與權、金融使用權與金融教育權。XREX 集團新加坡子公司於 2024 年 5 月取得新加坡金融管理局(MAS)大型支付機構(MPI)執照。

More from Anti-Fraud, AML and Fund tracing

Editor’s Picks