作者：Beosin 本文首刊於DeFiHackLabs，屬於XREX 交易所與慢霧科技 (SlowMist) 等多家資安公司聯手推出的Web3 資安學院系列專文 虛擬貨幣被盜案件舉例 1. Fenbushi Capital創始合夥人Bo Shen資產被盜事件 2022 年 11 月 23 日，根據區塊鏈安全審計公司 Beosin 旗下 BeosinEagleEye 安全風險監控、預警與阻斷平臺監測顯示，Fenbushi Capital 創始合夥人沈波在推特上表示：「個人常用 894 結尾錢包，共 4200 萬美元價值資產，其中包含 3800 萬枚USDC在紐約時間 11 月 10 日淩晨被盜。被盜資產為個人資金，與分布式相關基金無關。目前已當地報案，FBI 與律師均已介入。」 案件分析 Beosin 安全團隊通過分析USDC的轉賬交易，定位到了相關地址遭受的多筆盜幣交易，下圖為其中一筆盜幣交易 0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7。 由於該筆交易是由 0x6be85603322df6DC66163eF5f82A9c6ffBC5e894 地址發起，因此認定為私鑰洩露。目前被盜資金已經大部分兌換為 DAI，並被攻擊者轉移到下面兩個地址：0x4ac9ca41efe0ea19b8f3493a91d8a5f706e1e8f9；0x66F62574ab04989737228D18C3624f7FC1edAe14 還有 1606 個 Ether 在 0x24B93EED37e6FfE948A9bdF365d750B52AdCBC2e。 再次提醒用戶註意錢包安全，Beosin Trace… ...閱讀更多

在前一篇文章《Web3 資安教戰手冊：你不可不知的區塊鏈威脅手法與話術》中，我們討論了何謂 Web3、Web3 世界中的攻擊事件與損失數據報告、駭客入侵平台與用戶帳號的企圖，以及三種 Web3 攻擊與詐騙方式。本篇文章將接續討論另外六種 Web3 駭客攻擊與詐騙手法，延續前面三種，本篇將從第四種詐騙手法開始。 四、社群媒體免費贈送詐騙 我們每天都會使用的各種社群媒體，例如：在 Facebook、Instangram、Twitter 等等，都是駭客常用的工具。駭客會在社群媒體註冊假帳號或盜用其帳號，偽冒知名企業、政治與各領域知名人士的身份，發文宣稱要送出加密貨幣，例如：「向我發送 1 顆以太幣，我將返還 10 顆以太幣給你」，引誘看見貼文的人上鉤。 去年底，印度總理莫迪擁有超過七千萬人追蹤的推特帳號被盜，駭客就發文宣稱有免費的比特幣，要大家快來搶，因為是擁有藍勾勾認證的帳號，又是印度總理，很容易讓人信以為真，但是只要點擊貼文中的連結，就會面臨資安風險。 這些社群媒體上的貼文，引誘其他人去點擊特定連結，或是發送加密貨幣到特定地址以換取更多加密貨幣，這些都只是駭客用來吸金的話術。更可怕的是，在受害者向駭客索討受騙金額時，駭客還可能以「需要再向我發送 30% 手續費」等說法，再次行騙。 圖 4.1 / 駭客利用假冒的粉絲專頁，分享其他帳號的大頭貼照，吸引帳號擁有者的注意 圖 4.2 /假冒帳號在本尊的推文底下留言，並且立刻安排多個假帳號附和、按讚 圖 4.3 / 駭客直接盜用官方認證帳號，騙取使用者信任   如何防範免費贈送詐騙呢？XREX 建議您： 多方驗證消息來源，請勿聽信任何免費贈送的廣告。 對於免費贈幣、以一換十這種「好得不真實」的活動，必須三思。 必須謹記，去中心化金融不存在反悔操作，錢轉出去就回不來了。 對任何轉帳或授權有關的錢包應用程式彈出式視窗，保持謹慎。   五、龐氏騙局 — 高報酬投資詐騙 「龐氏騙局」是大家經常聽見的名詞，但究竟什麼是龐氏騙局呢？基本上，龐氏騙局的運作模式是以投資為名，以高額回報誘騙受害者投資。龐氏騙局通常第一眼看，會覺得與普通證券基金的模式無異，但在龐氏騙局中，投資回報事實上是來自後面加入的投資者，而不是公司自身盈利。 龐氏騙局最初發生於 20 世紀初的美國，吸引第一批投資人之後，不斷再拉入更多投資人將資金投入項目。實際上，項目並沒有盈利，而是將後期投資人的資金變成了早期投資人的利息，今天我們經常聽到的「資金盤」或「老鼠會」，就是龐氏騙局的各種變體。 如何判斷龐氏騙局呢？龐氏騙局的常見特徵是模糊不清的經濟模型，也就是項目本身很難運作也不知其獲利來源，卻可以承諾投資人明顯不合理的高收益報酬率，從以下的平台與對話截圖就是實例。 圖 5.1 / 平台提供日收益率達到 2.72%… ...閱讀更多