所有文章
專欄與觀點
2022 年 08 月 16 日
共同編撰:Sun Huang / Helen Lai / Yoyo Yu 尤芷薇 之前發表的兩篇資安相關文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》和《九種常見的 Web3 駭客攻擊與詐騙手法》,XREX 資安團隊分享了 Web3 概念、駭客的目標、常見詐騙手法與話術,並提供務實的防範建議。但是,您一定想問,如果真的不小心踏入陷阱,面臨「頭都已經洗一半了」窘境,該怎麼辦呢? XREX 資安團隊特別撰寫此文,以真實案例、線上工具與步驟教學,手把手地教您如何突破詐騙圈套,在把加密貨幣發到另一個錢包之前,率先檢視是否是乾淨且沒有被通報過的錢包;在平台上投資產品、使用服務之前,也可以檢驗是否為正確的官方網站。 反向追蹤詐騙集團:區塊鏈的「不可篡改性」 「反向追蹤」聽起來有些困難,簡而言之就是使用偵測工具去檢視交易對象過去的交易紀錄,確認對方是否曾經有過可疑交易、被通報為詐騙與不法份子,甚至有機會抓到駭客錢包地址,要求歸還被盜走的加密貨幣。 首先,必須先理解為什麼我們可以在區塊鏈上快速地執行反向追蹤,揭開詐騙集團的真面目? 「區塊鏈」一詞源於中本聰在 2008 年發表的《比特幣:一種點對點電子現金系統》,經過十多年來的發展與醞釀,我們已經看見比特幣、以太坊、NFT、去中心化金融 DeFi、區塊鏈遊戲 GameFi 等項目與應用,未來區塊鏈還將打開更多我們在今日無法想像的可能性。 區塊鏈的去中心化帳本(又稱分散式帳本)是一種紀錄資料的技術,通過分散節點的方式,使區塊鏈上的資料不存在單一核心個體內,藉由密碼學串接獨立且分散的多個節點儲存資料,頻繁且快速地互相驗證彼此的內容,使竄改資料或竊取的可能性變得極低,進而產生廣為人知的三大特性:去中心化、不可篡改、公開透明。 其中不可篡改的特性,就是本篇反向追蹤詐騙集團的重點。現在已有許多免費的線上工具,也有國際著名的頂尖商用付費技術平台,例如 XREX 結盟合作的 CipherTrace 和 TRM Lab。接下來我們會以實際偵測過的案例,實際演練如何判斷真偽,順利逃脫詐騙集團精心設下的陷阱,守護自己的加密資產不受損害。 檢視交易錢包是否安全 XREX 資安團隊在 2022 年 6 月接獲客服通知,有一名 XREX 用戶對自己即將交易的錢包地址有疑慮(地址:0x75F2ff3f2D5a789762622d7C039373cA6b8aD74A),請 XREX 協助確認其安全性。XREX 當時是使用已經整合的合作夥伴 CipherTrace 和 TRM… ...閱讀更多
專欄與觀點
2022 年 08 月 09 日
編按:美國是加密貨幣行業的領先者,其監管制度與執法動作對全球各國政府皆具有指標性意義。日前,美國證券交易委員會 (U.S. Securities and Exchange Commission, 後文統稱 SEC) 對 Coinbase 前員工提出內線交易指控,並此案中有關的 9 種加密貨幣列為證券,引起業界譁然。曾在美國聯準會(Federal Reserve System, Fed) 服務超過十年的 XREX 風控總監 邢智超 撰寫此文,爬梳事件的來龍去脈,他形容 SEC 缺乏一致性與透明度的針對性執法,就像是隨機挑選飢餓遊戲的參賽者一樣,讓業者無所適從並扼殺創新機會。邢智超也在文末提出三點務實的改善建議。 文 / 邢智超 Michael Shing 2022 年 7 月,SEC 對一名前 Coinbase 員工和他的兩名同夥提出內線交易指控。 這三名被告涉嫌在 Coinbase 交易所上架加密貨幣與上市公告之前,取得內線消息搶先交易,獲得 110 萬美元的不法獲利。如果只是內線交易的指控,或許還不會讓 Coinbase 佔據頭條新聞版面,但在這起事件中有關的 9 種加密貨幣,被 SEC 列為其管轄範圍的證券,可能對加密貨幣業前景產生深遠影響。 《彭博社》報導指出,在提出內線交易指控後,SEC 已對 Coinbase 發起調查,指控他們上架未註冊的證券並提供交易服務。 SEC… ...閱讀更多
部落格
2022 年 08 月 05 日
在前一篇文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》中,我們討論了何謂 Web3、Web3 世界中的攻擊事件與損失數據報告、駭客入侵平台與用戶帳號的企圖,以及三種 Web3 攻擊與詐騙方式。本篇文章將接續討論另外六種 Web3 駭客攻擊與詐騙手法,延續前面三種,本篇將從第四種詐騙手法開始。 四、社群媒體免費贈送詐騙 我們每天都會使用的各種社群媒體,例如:在 Facebook、Instangram、Twitter 等等,都是駭客常用的工具。駭客會在社群媒體註冊假帳號或盜用其帳號,偽冒知名企業、政治與各領域知名人士的身份,發文宣稱要送出加密貨幣,例如:「向我發送 1 顆以太幣,我將返還 10 顆以太幣給你」,引誘看見貼文的人上鉤。 去年底,印度總理莫迪擁有超過七千萬人追蹤的推特帳號被盜,駭客就發文宣稱有免費的比特幣,要大家快來搶,因為是擁有藍勾勾認證的帳號,又是印度總理,很容易讓人信以為真,但是只要點擊貼文中的連結,就會面臨資安風險。 這些社群媒體上的貼文,引誘其他人去點擊特定連結,或是發送加密貨幣到特定地址以換取更多加密貨幣,這些都只是駭客用來吸金的話術。更可怕的是,在受害者向駭客索討受騙金額時,駭客還可能以「需要再向我發送 30% 手續費」等說法,再次行騙。 圖 4.1 / 駭客利用假冒的粉絲專頁,分享其他帳號的大頭貼照,吸引帳號擁有者的注意 圖 4.2 /假冒帳號在本尊的推文底下留言,並且立刻安排多個假帳號附和、按讚 圖 4.3 / 駭客直接盜用官方認證帳號,騙取使用者信任 如何防範免費贈送詐騙呢?XREX 建議您: 多方驗證消息來源,請勿聽信任何免費贈送的廣告。 對於免費贈幣、以一換十這種「好得不真實」的活動,必須三思。 必須謹記,去中心化金融不存在反悔操作,錢轉出去就回不來了。 對任何轉帳或授權有關的錢包應用程式彈出式視窗,保持謹慎。 五、龐氏騙局 — 高報酬投資詐騙 「龐氏騙局」是大家經常聽見的名詞,但究竟什麼是龐氏騙局呢?基本上,龐氏騙局的運作模式是以投資為名,以高額回報誘騙受害者投資。龐氏騙局通常第一眼看,會覺得與普通證券基金的模式無異,但在龐氏騙局中,投資回報事實上是來自後面加入的投資者,而不是公司自身盈利。 龐氏騙局最初發生於 20 世紀初的美國,吸引第一批投資人之後,不斷再拉入更多投資人將資金投入項目。實際上,項目並沒有盈利,而是將後期投資人的資金變成了早期投資人的利息,今天我們經常聽到的「資金盤」或「老鼠會」,就是龐氏騙局的各種變體。 如何判斷龐氏騙局呢?龐氏騙局的常見特徵是模糊不清的經濟模型,也就是項目本身很難運作也不知其獲利來源,卻可以承諾投資人明顯不合理的高收益報酬率,從以下的平台與對話截圖就是實例。 圖 5.1 / 平台提供日收益率達到 2.72%… ...閱讀更多
專欄與觀點
2022 年 08 月 05 日
Web3 是近幾年來的搜尋關鍵字,在許多新聞報導、國際會議、產業研討會以及金融創新相關的討論,都可以看到 Web3 的討論,圍繞在區塊鏈以及加密貨幣帶來的創新與突破;於此同時,也因為相關技術仍處於早期,濫用的情況頻傳,很多人對於 Web3 世界中的詐騙、洗錢和駭客攻擊充滿恐懼。本文從 Web3 概念的討論開始,由加密貨幣平台 XREX 的資安團隊由淺入深地了解 Web3 世界中的資安觀念,解析駭客手法,並提供讀者務實的建議,用以保護自己的個資和數位資產。 什麼是 Web3? 1990 年代開始,網路慢慢地深入人類生活的各個層面,從日常生活到政治經濟,一直到我們的學習方法、通訊方式、交友模式與對時空距離的概念,都受到網路這個新興科技的影響。過去 30 年來,全球數十億人都成為全球資訊網中的一員。然而,沈浸於以網路為基礎的強大 IT 設施的同時,我們也正面臨極大的挑戰與入侵。少數科技巨頭壟斷了網路產業,也同時也壟斷了權力,可以單方面決定允許什麼、不允許什麼。 「網路+電腦」是 Web1.0 的時代,「網路+移動式裝置」則是 Web2.0。在 Web1.0 與 2.0 的時代,科技巨頭提供服務的同時,也一手掌握用戶產生的數據、資訊、內容,也就是俗稱的「中心化」結構。 Facebook 的言論審查制度、Google 的搜尋演算法、Spotify 向創作者抽取高達 30% 的獲利、線上遊戲停止營運後虛寶價值就歸零等等,都是我們在日常生活中,最貼近也最常見的案例。創造內容的用戶難以獲得分潤,也不掌握任何所有權,甚至在不知情的狀況下被利用,被刻意投放的資訊與廣告影響認知與決策,這些都是 Web1.0 與 Web2.0 所製造出來的問題,這也催生了 Web3 的時代。 Web3 技術被視為解決 Web1.0 與 Web2.0 產生的最佳解答。Web3 的基礎是區塊鏈技術,因為區塊鏈技術原生的「去中心化」結構,具有不可篡改性、公開透明性與開放源碼的天性,無論是內容還是權力,都不再是由大型科技公司與平台一手壟斷,而是由使用者建立、運營和擁有。自 2008 年中本聰發表比特幣白皮書以來,我們逐步想像並踏入 Web3… ...閱讀更多
產品更新
2022 年 08 月 01 日
如今我們在世界各地,已經看到了無數的數位貨幣應用實例,從質押到 NFT,再到遊戲代幣和參與 DeFi 項目,以區塊鏈技術為基礎的數位貨幣世界有無限的可能,人類對它的想象不該受限。 最重要的是,數位貨幣的誕生重新定義了我們生活中大量依賴的一件事:支付。 美國聯準會的一份報告談及 USDT 和 USDC 等穩定幣,寫道:「具有刺激支付系統成長和創新的潛力,讓支付變得更快速,成本也更低廉。」 這份報告還引用了世界銀行 2020 年發表的一份報告,內容指出:「(穩定幣)對跨境轉帳尤其重要,因為既有轉帳系統可能需要好幾天的時間才能清算,且費用高昂。這些費用和延遲經常造成中低收入國家的負擔,因為這些國家的人民依靠跨國轉帳才能取得必要的財務支持。」根據世界銀行的同一份報告,平均每一筆匯款的交易手續費高達 6.5%。 在服務印度和其他新興市場的過程中,XREX 觀察到穩定幣做為支付和加密貨幣交易媒介有大量需求。從 2020 年推出產品以來,XREX 獨有的履約保證型 BitCheck,已經幫助跨境商人、中小型企業和加密貨幣交易者,完成了數十萬次的交易。BitCheck 是由 XREX 提供的線上履約保證服務,確保資金的安全,直到交易雙方履行他們的交易義務。 XREX 本月推出 BitCheck 附加功能:BitCheck 合約。現在 XREX 的用戶可以在發送 BitCheck 的時候,選擇是否要附加一份合約,裡面紀錄了雙方協議的條件、承諾、保證以及其他重要資訊,BitCheck 合約上也會有雙邊實名制驗證的簽名,為跨境商業支付和加密貨幣 P2P 交易提供額外保護。 在履約保證型 Bitcheck 中再加上合約,進一步降低交易對手風險 (counterparty risk)。舉例來說,若是用戶使用 BitCheck 處理加密貨幣的 P2P 交易,附加的合約上可以包含特定條款,例如:賣方保證加密貨幣不是從非法途徑獲得等等,這也代表加密貨幣的賣方必須承擔這方面的責任,這個例子只是交易雙方從 BitCheck 附加合約中受益的其中一種,在不同的交易情境與方式,還有更多不同的應用方式。 USDT 和 USDC 等不同的美元穩定幣已經成為重要的交易媒介,協助跨境商戶在安全、快速和低成本的環境下進行交易。穩定幣也是加密貨幣交易者常用的價值儲存方式,更是交易加密貨幣的重要媒介。… ...閱讀更多
官方公告
2022 年 07 月 29 日
編按:XREX 資安長暨總經理 Sun Huang 擁有超過 15 年的國際資安經驗,並獲得 Offensive Security Certified Professional (OSCP)、Certified Ethical Hacker (CEH)、AWS Certified Security — Specialty (AWS ACS) 等國際資安執照及認證。近期,Sun 開源兩套 Web3 資安工具,協助工程師與開發者強化智能合約安全開發。Sun 撰寫本文,分享開發工具的緣由,並分享實例示範如何使用這兩套工具。 做為 XREX 資安長,我從今年 3 月開始主持公司內部培訓,提升資安團隊的兩大技能:Web3 資安分析能力,以及虛擬貨幣鏈上金流的威脅分析,也對 XREX 產品工程團隊舉辦了兩次 Web3 資安工作坊,這也是我分別在今年 6 月和 7 月開源兩套 Web3 資安工具 DeFiHackLabs 和 DeFiVulnLabs 的緣由。 每一次只要有 DeFi 項目遭駭,XREX 內部都會分析事件的根本原因並嘗試重現問題。我們會透過 Fork 主網特定區塊狀態,模擬駭客攻擊智能合約的手法,並觀察餘額狀態的改變。每一次的攻擊事件都可以幫助我們在未來開發時,避免踩到同樣的坑、犯同樣的錯。… ...閱讀更多
產品更新
2022 年 06 月 16 日
XREX 在最新的版本中,上架六款加密貨幣,包括:MATIC、BNB、AVAX、SAND、GMT 和AAVE。如同我們先前在 部落格 中提到的,XREX 致力於幫助用戶多元化數位資產組合,讓他們可以在風險獲得控管與評估的安全環境中,參與有潛力的區塊鏈項目。身為一個負責任的加密貨幣平台,XREX 團隊致力於確保用戶的不會暴露在未知的風險之中,如何保護用戶以及整個加密貨幣社群的權益,是我們的核心目標。 在經過全面且仔細的評估後,XREX 團隊選擇上架以下六種加密貨幣,新增交易對如下: MATIC/USDT BNB/USDT AVAX/USDT SAND/USDT GMT/USDT AAVE/USDT XREX 風險控管總監邢智超 (Michael Shing) 建置了一套全面的審核機制,可以在上架加密貨幣之前進行各層面的風險分析。邀請 XREX 各個部門的同仁依其專業參與評估,討論安全性、客戶服務、合規等議題。 風險管理是一套非常複雜的機制。除了常見的反洗錢和實名驗證外,在上架加密貨幣、推出新功能、選擇合作夥伴等重要決定之前,都必須仔細考慮不同的風險類別。在詳細的研究和調查之後,XREX 團隊才會共同做出最後決定。 我們都知道,投資不可能零風險,但 XREX 團隊對自己的資安和風控能力極具信心。我們也在此特別宣布,最新的版本將支援 MATIC、BNB、AVAX、SAND、GMT 和 AAVE 六種加密貨幣。 近期因為幣圈進入熊市,再加上一連串借貸平台爆發危機,引起許多人的焦慮與恐懼,特別是剛剛開始投資加密貨幣的新手。雖然最近市場表現不佳,但仍有許多區塊鏈新創和團隊持續地在他們的領域和項目上,做出努力和貢獻。也有許多人希望透過持有這些團隊所發行的加密貨幣,來支持這些富有潛力和前景的項目。 選擇投資在 XREX 交易所上市的加密貨幣,會是是一個安全又可靠的選擇,因為在上架之前,這些加密貨幣都經過了我們詳細的盡職調查。 XREX 期待可以提供您更多的投資選項,並在一定程度的風險控管之下,協助您多元化持有的數位資產。 交易愉快! XREX 團隊 常見問題: What is AAVE? What is AVAX? What is… ...閱讀更多
官方公告
2022 年 06 月 14 日
XREX 質押年回報率 (APR) XREX 質押幫助您在 XREX 平台上質押您的數位資產,每月一號會公告當月的年回報率 (APR) ,XREX 質押的獎勵是每日發放的,而且任何時間都可以贖回質押,沒有任何贖回費用。 XREX 質押的年回報率在每個月的第一天公告,質押的用戶在一整個月中,都可以獲得固定的年回報率。 2024 年 12 月的年回報率 (APR) 2024 年 12 月的年回報率,會在 2024 年 12 月 1 號 00:00 am (UTC+0) 公告。 2024 年 11 月的年回報率 (APR)— 本月 年回報率: 4.00% 實際年回報率: 3.40% (年回報率 — 平台費用) * 平台費用:質押獎勵的 15% 以下為過去每月 APR 紀錄… ...閱讀更多
官方公告
2022 年 06 月 08 日
作為一家合法合規的法幣與加密貨幣交易所,XREX 秉持國際最高標準為用戶提供安全且乾淨的交易環境。近日,XREX 資安團隊發現有不肖人士,假本公司徵才之名,行詐騙盜取個資之實,要求應徵者依其指示完成 XREX 開戶流程與驗證程序,即可獲得報酬。 XREX 特此聲明此種徵才行為與本公司無關,嚴正提醒所有 XREX 用戶務必透過官方管道申請並使用 XREX 服務,萬不可將帳號交予他人操作使用,以免捲入不法活動。 「假徵才,真詐騙」是常見的加密貨幣詐騙手法,誘騙應徵者在不知情的情況下,提供自己的交易所與銀行帳戶成為詐騙集團的犯罪工具,不僅自己成為詐騙受害者,還成為匯兌不法資金的人頭帳戶,淪為洗錢車手。 XREX 提醒您,務必小心保護個人帳號、錢包住址與身份資訊,不可配合或依照第三人指示,一步一步踏入詐騙陷阱,包括: 提供個人身份證明資料 提供交易所帳號密碼 將交易所帳號與銀行帳戶進行綁定 提供網路銀行帳號密碼 依照我國現行法律,提供帳戶予他人涉入不法用途者,具有刑法犯罪之共犯或幫助犯之疑慮,為了避免您捲入違法情事並淪為代罪羔羊,若您已依照他人指示,完成在 XREX 平台開戶,且將帳戶資訊供第三人使用,建議您透過下方 XREX 官方聯繫管道,儘速與本公司聯繫,本公司收到您的通報與請求後,會盡快協助您處理相關事宜,保護您不被他人利用,藉由您的名義從事不法活動。 最後,引述我國刑事局提醒,常見之求職詐騙的手法與話術,包括: 聲稱工作輕鬆單純、待遇高、可節稅 佯稱只要提供帳戶、僅需拿提款卡協助提領款項,即可抽成領薪 採手機打卡上下班制,毋需進辦公室即享高額待遇 假稱製作薪水帳戶、註冊公司會員,騙取身份證件或存摺成立人頭帳戶收取贓款,並申辦電話門號做為詐騙所用 受害人在捲入求職詐騙之後,不僅身份與帳號遭盜用,更慘淪詐欺共犯,名下所有帳戶都遭到凍結。 以此聲明嚴正警告,XREX 絕對不會透過社群媒體,如:Facebook、LINE、Telegram 等非官方管道向用戶索取個人資料。若您發現或已不小心將相關資訊提供予第三人,請儘速撥打警政署 165 反詐騙諮詢專線,或以下方官方管道聯繫 XREX,我們將儘速協助。 XREX 官方聯絡方式 官方電話:02–2721–1811 官方網站:https://xrex.io/zh/ 社群媒體:Discord、Telegram、Twitter、Facebook、Blog 與 LinkedIn 官方電子郵件信箱: 服務支援:support@xrex.io 資安支援:secops@xrex.io XREX 徵才管道 XREX 官網:https://xrex.breezy.hr/… ...閱讀更多
