重點摘要
- 智能合約是一種區塊鏈上的協議,只要觸發設定條件,就會自動執行,背後的技術相對複雜,一般人很難辨別異狀,也很容易成為詐騙集團用來詐騙的手法。XREX 在這篇文章中,分享兩個常見的「智能合約」詐騙劇本。
- 第一種詐騙劇本,是利用生成式 AI 工具 ChatGPT 教學中暗藏惡意程式碼,有被害人因此被騙走 10 枚以太幣;第二種詐騙劇本,是取得被害人錢包權限,有金融業者主管因此被騙超過 1100 萬新台幣。
- 一般人不一定具備識別智能合約惡意指令的能力,XREX 教你四招預防智慧合約詐騙的方法。
作者 / 鄭婷宇 Claire
生成式 AI(Generative AI)問世後,大幅提升人類的工作效率,寫文章、製作影片甚至是寫程式,通通都能透過 AI 代勞,其中又以 ChatGPT 最為熱門。詐騙集團早已嗅到這股熱潮,利用 AI 工具轉變成全新的詐騙劇本。
今天 XREX 要跟大家分享兩個,跟「智能合約」(Smart Contract)有關的新騙術。有被害人在 YouTube 上,想學習用「 ChatGPT 寫自動交易機器人程式」,沒想到機器人沒有建成,卻被詐騙集團騙走 10 枚 以太幣(Ethereum,ETH)總價值約 33,000 美元(依截稿時的以太幣價值計算)。
還有人只因為「填寫資料」,白白送出自己的錢包(Wallet)權限,一位金融業的高階主管因為誤信詐騙集團的投資噱頭,因此被詐騙了超過 1100 萬新台幣,損失慘重。
智能合約是一種區塊鏈上的協議,只要觸發設定條件,就會自動執行,背後的技術相對複雜,就算有異狀,一般人也很難辨別。詐騙集團正是利用這點,將惡意的陷阱藏在智能合約中,讓被害人在不知情下部署智能合約,將跟金庫鑰匙一樣重要的錢包權限,通通交給詐騙集團。
在「智能合約」詐騙劇本中,究竟是如何讓被害人,在不知情的情況下簽下(也就是部署)惡意合約?又有哪些預防的方式?透過這篇文章一次告訴你。
認識詐騙劇本前,先搞懂「智能合約」是什麼
在深入瞭解詐騙劇本前,先來認識一下什麼是「智能合約」。智能合約是一種在區塊鏈上,以程式碼編寫而成的特殊協議,是一套靠「條件觸發相應動作」的機制。
白話來說,智能合約就像是一般日常生活中的「簽合約」,只是雙方是使用程式碼來寫條款,而不是紀錄在紙本或電子文件上,每當遇到需要執行合約上的情況時,不需要法律機構、中心化的單位(例如:銀行、律師、會計師)來核對與執行。只要符合程式碼上的遊戲規則,智能合約就會自動執行相對應的動作,擔保買賣雙方履行合約的責任。
區塊鏈因為有智能合約這樣的去中心化的機制,才能夠在「去人性化」、「零信任」的狀態下,自動、透明且高效率的執行各種交易。
拆解兩大「智能合約」詐騙劇本
智能合約詐騙大致分成兩大類:「誘使被害人打幣到詐騙集團的錢包」與「取得被害人錢包權限」。在「智能合約」詐騙劇本中,有兩種人特別被詐騙集團瞄準,一種是對於區塊鏈技術不熟悉的小白,另一種則是已經非常熟悉操作,卻粗心沒有加以核對的幣圈資深老手。詐騙集團以各種手法包裝藏有陷阱的智能合約,誘騙被害人在不知情的狀況下給出了錢包授權,一瞬間就失去了錢包裡的數位資產,不得不慎。
第一類:ChatGPT 教學暗藏惡意程式碼!被害人白白送出 10 枚以太幣
近兩年各式 AI 工具興起,坊間有不少跟投資理財相關的 AI 工具與課程。詐騙集團嗅到了機會,將「用 ChatGPT 寫出自動交易的機器人」的內容,製作成線上教學影片,並將「送幣到詐騙集團錢包」的智能合約,包裝成「輕鬆賺取被動收入」的機器人程式碼,誘使被害人心甘情願安裝,藉此竊取對方錢包內的資產,被害人誤以為自己在安裝機器人,實際上是把自己的資產雙手捧給別人。
有民眾在半個月內,被這類手法一連詐騙了三次,總計損失 10 枚以太幣,以當時的幣價計算,總價值高達 33,000 美元,超過 106 萬新台幣。
圖說:智能合約詐騙大致分成兩大類:「誘使被害人打幣到詐騙集團的錢包」與「取得被害人錢包權限」。
拆解 ChatGPT 教學詐騙劇本
首先,詐騙者會在製作「用 ChatGPT 建立智能合約」的教學影片,上傳到 Youtube 等不同平台上,甚至會在影片開頭友善提醒觀眾小心詐騙,營造正派的形象,以此取得觀眾信任。
接著,詐騙者會以各種話術,要求觀眾複製早已準備好的惡意智能合約,例如:「即使輸入相同的指令,ChatGPT 可能還是會給出不同回答,所以可以直接複製我提供的程式碼,來更快速往下操作其他步驟。」
可怕的陷阱,就藏在這份智能合約的細節中,詐騙集團將「打幣到自己控制錢包地址」的程式碼,拆成數個零碎片段,安插在智能合約的不同地方,以此混淆視聽。被害人跟著影片操作,安裝這串智能合約並執行後,錢包大門就會敞開,白白將自己的資產送進詐騙集團的錢包內。
這類詐騙集團製作的教學影片,都是主打「不會寫程式,也能建立專屬加密貨幣交易的機器人」,因此觀眾有很大的機率,是完全不具備識別智能合約陷阱的能力,就算觀眾能看懂,也很難在簡單瀏覽的狀況下,發現程式碼的不合理之處。
根據外媒《Gizmodo》 報導,這類 YouTube 教學影片詐騙背後都經過精心設計,像是會聘請專業演員拍片,偽裝成學員分享「自建智能合約」的成功經驗,以及在影片下方留言區,透過機器人撰寫大量正面評論,以此來加深觀眾信任感、增加影片曝光度,在網路上觀看這類教學影片時,一定要小心查證與確認,不可不慎。
第二類:只因「填寫資料」,就白白送出錢包權限
原本想透過投資獲取更多被動收入,卻因為「填寫資料」白白送出自己的錢包權限,任憑詐騙集團將自己的辛苦錢搜刮一空,這一切是怎麼發生的?
今年(2024)四月,有詐騙集團假扮成幣商,以投資為由,向被害人部署惡意的智能合約,竊取錢包內的加密貨幣。這起案件中,被害人一共超過 50 位、財損超過 4000 萬新台幣,其中一位金融業的高階主管,更因此被詐騙了超過 1100 萬新台幣,損失慘重。
圖說:今年(2024)四月,有詐騙集團假扮成幣商,以投資為由,向被害人部署惡意的智能合約,竊取錢包內的加密貨幣。
拆解竊取錢包權限詐騙劇本
這類竊取錢包權限的詐騙手法分工緊密,首先,詐騙集團會先透過聊天,與被害人建立信任感,並在過程中灌輸「加密貨幣是一項高報酬投資」的觀念,鼓吹被害人購買泰達幣(USDT)投資。
但一般民眾對於加密貨幣不熟悉,這時詐騙集團會假好心,跟被害人約在超商見面,協助操作買幣。見面後,會要求被害人現場繳交買幣的款項,以及簽下 USDT 買賣契約。為了消除疑慮,詐騙集團還會現場用手機操作整個流程,讓被害人親眼看到有確實入金,以及展示交易平台上的 USDT 購幣紀錄,藉此取得信任。
接著,詐騙集團協助被害人開設「錢包」,以看似正常的理由,要求被害人到另一個頁面填資料,這類的話術包括:需要通過認證才能啟用錢包等。
實際上,被害人被引導到另一個頁面填的資料,就是啟用詐騙集團惡意智能合約的所需資訊,一但被害人按下確認鍵送出資料時,智能合約就會立刻啟動,讓詐騙集團擁有自由操控被害人錢包的權限。詐騙集團此時會開始守株待兔,很多甚至會埋伏,等到被害人的資產累積到一定程度時,才出手攻擊。
許多被害人會在一段時間後,突然發現自己錢包內的資產不翼而飛,許多人甚至會以為是被駭客入侵,實際上,很難想到是因為自己在超商面交時「填寫資料」所導致的。
如何預防「智能合約」詐騙?
無論詐騙手法、工具如何翻新,所有的投資詐騙,都是瞄準人性容易被「快速」、「高收益」、「簡單獲利」吸引的弱點下手。
因此,只要看到「輕鬆獲取高報酬」等關鍵字,或是好到不真實的報酬時,一定要提高警覺,讓自己冷靜下來,多留一點時間查核資訊,這是防詐最關鍵的基本功。除此之外,千萬不要隨便聽信別人的指示去操作錢包設定。
圖說:只要看到「輕鬆獲取高報酬」等關鍵字,或是好到不真實的報酬時,一定要提高警覺,讓自己冷靜下來,多留一點時間查核資訊,這是防詐最關鍵的基本功。
但是像 ChatGPT 教學這類的詐騙,被害人只是想學習工具使用的知識,並非出於貪念,也可能不具備識別智能合約惡意指令的能力,要確保錢包使用的安全,可以參考以下做法。
① 選擇公開、經過合規審核機構發行的智能合約,比較有保障。
② 檢查智能合約是否要求過多不必要的授權範圍。例如:授予整個錢包的控制權。
③ 定期檢查錢包授權情形,並移除不再需要的授權,減少潛在風險。可以使用如Revoke cash 及 Etherscan Token Approval 等輔助工具。
④ 不斷增進區塊鏈與加密貨幣投資知識,避免被詐團的話術誘騙。XREX Academy 提供四周系統性且完整的區塊鏈金融基礎知識課程,幫助新手入門、保護自己的加密資產。
區塊鏈金融的好處之一,就是「自己的資產自己管」,而錢包就是管理鏈上資產重要的工具,學習相關知識,並不要與陌生人及陌生錢包地址往來,把握交易之前再三查證與檢查的大原則,就是保護資產安全,避免落入智能合約詐騙陷阱最關鍵的一道防線。
關於 XREX 集團
XREX 集團是一家擁有區塊鏈技術的國際金融機構,與銀行、政府及用戶密切合作,共同改寫金融定義。我們幫助位處發展中國家或與發展中國家有生意往來的企業處理跨境金融服務,同時也為全球加密貨幣新手提供最友善的使用者體驗。
創立於 2018 年,XREX 集團提供一站式的服務,包括:數位資產託管、錢包、跨境支付、法幣與加密貨幣轉換、加密貨幣交易所、多元化資產投資、法幣出入金服務等等。
XREX 集團將普惠金融視為社會責任並希望為此盡一份心力,持續運用區塊鏈技術推進金融參與權、金融使用權與金融教育權。XREX 集團新加坡子公司於 2024 年 5 月取得新加坡金融管理局(MAS)大型支付機構(MPI)執照,台灣子公司鏈科股份有限公司則於 2022 年 3 月完成與台灣金融監督管理委員會的洗錢防制法令遵循聲明。