所有文章
部落格
2022 年 08 月 05 日
在前一篇文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》中,我們討論了何謂 Web3、Web3 世界中的攻擊事件與損失數據報告、駭客入侵平台與用戶帳號的企圖,以及三種 Web3 攻擊與詐騙方式。本篇文章將接續討論另外六種 Web3 駭客攻擊與詐騙手法,延續前面三種,本篇將從第四種詐騙手法開始。 四、社群媒體免費贈送詐騙 我們每天都會使用的各種社群媒體,例如:在 Facebook、Instangram、Twitter 等等,都是駭客常用的工具。駭客會在社群媒體註冊假帳號或盜用其帳號,偽冒知名企業、政治與各領域知名人士的身份,發文宣稱要送出加密貨幣,例如:「向我發送 1 顆以太幣,我將返還 10 顆以太幣給你」,引誘看見貼文的人上鉤。 去年底,印度總理莫迪擁有超過七千萬人追蹤的推特帳號被盜,駭客就發文宣稱有免費的比特幣,要大家快來搶,因為是擁有藍勾勾認證的帳號,又是印度總理,很容易讓人信以為真,但是只要點擊貼文中的連結,就會面臨資安風險。 這些社群媒體上的貼文,引誘其他人去點擊特定連結,或是發送加密貨幣到特定地址以換取更多加密貨幣,這些都只是駭客用來吸金的話術。更可怕的是,在受害者向駭客索討受騙金額時,駭客還可能以「需要再向我發送 30% 手續費」等說法,再次行騙。 圖 4.1 / 駭客利用假冒的粉絲專頁,分享其他帳號的大頭貼照,吸引帳號擁有者的注意 圖 4.2 /假冒帳號在本尊的推文底下留言,並且立刻安排多個假帳號附和、按讚 圖 4.3 / 駭客直接盜用官方認證帳號,騙取使用者信任 如何防範免費贈送詐騙呢?XREX 建議您: 多方驗證消息來源,請勿聽信任何免費贈送的廣告。 對於免費贈幣、以一換十這種「好得不真實」的活動,必須三思。 必須謹記,去中心化金融不存在反悔操作,錢轉出去就回不來了。 對任何轉帳或授權有關的錢包應用程式彈出式視窗,保持謹慎。 五、龐氏騙局 — 高報酬投資詐騙 「龐氏騙局」是大家經常聽見的名詞,但究竟什麼是龐氏騙局呢?基本上,龐氏騙局的運作模式是以投資為名,以高額回報誘騙受害者投資。龐氏騙局通常第一眼看,會覺得與普通證券基金的模式無異,但在龐氏騙局中,投資回報事實上是來自後面加入的投資者,而不是公司自身盈利。 龐氏騙局最初發生於 20 世紀初的美國,吸引第一批投資人之後,不斷再拉入更多投資人將資金投入項目。實際上,項目並沒有盈利,而是將後期投資人的資金變成了早期投資人的利息,今天我們經常聽到的「資金盤」或「老鼠會」,就是龐氏騙局的各種變體。 如何判斷龐氏騙局呢?龐氏騙局的常見特徵是模糊不清的經濟模型,也就是項目本身很難運作也不知其獲利來源,卻可以承諾投資人明顯不合理的高收益報酬率,從以下的平台與對話截圖就是實例。 圖 5.1 / 平台提供日收益率達到 2.72%… ...閱讀更多
專欄與觀點
2022 年 08 月 05 日
Web3 是近幾年來的搜尋關鍵字,在許多新聞報導、國際會議、產業研討會以及金融創新相關的討論,都可以看到 Web3 的討論,圍繞在區塊鏈以及加密貨幣帶來的創新與突破;於此同時,也因為相關技術仍處於早期,濫用的情況頻傳,很多人對於 Web3 世界中的詐騙、洗錢和駭客攻擊充滿恐懼。本文從 Web3 概念的討論開始,由加密貨幣平台 XREX 的資安團隊由淺入深地了解 Web3 世界中的資安觀念,解析駭客手法,並提供讀者務實的建議,用以保護自己的個資和數位資產。 什麼是 Web3? 1990 年代開始,網路慢慢地深入人類生活的各個層面,從日常生活到政治經濟,一直到我們的學習方法、通訊方式、交友模式與對時空距離的概念,都受到網路這個新興科技的影響。過去 30 年來,全球數十億人都成為全球資訊網中的一員。然而,沈浸於以網路為基礎的強大 IT 設施的同時,我們也正面臨極大的挑戰與入侵。少數科技巨頭壟斷了網路產業,也同時也壟斷了權力,可以單方面決定允許什麼、不允許什麼。 「網路+電腦」是 Web1.0 的時代,「網路+移動式裝置」則是 Web2.0。在 Web1.0 與 2.0 的時代,科技巨頭提供服務的同時,也一手掌握用戶產生的數據、資訊、內容,也就是俗稱的「中心化」結構。 Facebook 的言論審查制度、Google 的搜尋演算法、Spotify 向創作者抽取高達 30% 的獲利、線上遊戲停止營運後虛寶價值就歸零等等,都是我們在日常生活中,最貼近也最常見的案例。創造內容的用戶難以獲得分潤,也不掌握任何所有權,甚至在不知情的狀況下被利用,被刻意投放的資訊與廣告影響認知與決策,這些都是 Web1.0 與 Web2.0 所製造出來的問題,這也催生了 Web3 的時代。 Web3 技術被視為解決 Web1.0 與 Web2.0 產生的最佳解答。Web3 的基礎是區塊鏈技術,因為區塊鏈技術原生的「去中心化」結構,具有不可篡改性、公開透明性與開放源碼的天性,無論是內容還是權力,都不再是由大型科技公司與平台一手壟斷,而是由使用者建立、運營和擁有。自 2008 年中本聰發表比特幣白皮書以來,我們逐步想像並踏入 Web3… ...閱讀更多
產品更新
2022 年 08 月 01 日
如今我們在世界各地,已經看到了無數的數位貨幣應用實例,從質押到 NFT,再到遊戲代幣和參與 DeFi 項目,以區塊鏈技術為基礎的數位貨幣世界有無限的可能,人類對它的想象不該受限。 最重要的是,數位貨幣的誕生重新定義了我們生活中大量依賴的一件事:支付。 美國聯準會的一份報告談及 USDT 和 USDC 等穩定幣,寫道:「具有刺激支付系統成長和創新的潛力,讓支付變得更快速,成本也更低廉。」 這份報告還引用了世界銀行 2020 年發表的一份報告,內容指出:「(穩定幣)對跨境轉帳尤其重要,因為既有轉帳系統可能需要好幾天的時間才能清算,且費用高昂。這些費用和延遲經常造成中低收入國家的負擔,因為這些國家的人民依靠跨國轉帳才能取得必要的財務支持。」根據世界銀行的同一份報告,平均每一筆匯款的交易手續費高達 6.5%。 在服務印度和其他新興市場的過程中,XREX 觀察到穩定幣做為支付和加密貨幣交易媒介有大量需求。從 2020 年推出產品以來,XREX 獨有的履約保證型 BitCheck,已經幫助跨境商人、中小型企業和加密貨幣交易者,完成了數十萬次的交易。BitCheck 是由 XREX 提供的線上履約保證服務,確保資金的安全,直到交易雙方履行他們的交易義務。 XREX 本月推出 BitCheck 附加功能:BitCheck 合約。現在 XREX 的用戶可以在發送 BitCheck 的時候,選擇是否要附加一份合約,裡面紀錄了雙方協議的條件、承諾、保證以及其他重要資訊,BitCheck 合約上也會有雙邊實名制驗證的簽名,為跨境商業支付和加密貨幣 P2P 交易提供額外保護。 在履約保證型 Bitcheck 中再加上合約,進一步降低交易對手風險 (counterparty risk)。舉例來說,若是用戶使用 BitCheck 處理加密貨幣的 P2P 交易,附加的合約上可以包含特定條款,例如:賣方保證加密貨幣不是從非法途徑獲得等等,這也代表加密貨幣的賣方必須承擔這方面的責任,這個例子只是交易雙方從 BitCheck 附加合約中受益的其中一種,在不同的交易情境與方式,還有更多不同的應用方式。 USDT 和 USDC 等不同的美元穩定幣已經成為重要的交易媒介,協助跨境商戶在安全、快速和低成本的環境下進行交易。穩定幣也是加密貨幣交易者常用的價值儲存方式,更是交易加密貨幣的重要媒介。… ...閱讀更多
官方公告
2022 年 07 月 29 日
編按:XREX 資安長暨總經理 Sun Huang 擁有超過 15 年的國際資安經驗,並獲得 Offensive Security Certified Professional (OSCP)、Certified Ethical Hacker (CEH)、AWS Certified Security — Specialty (AWS ACS) 等國際資安執照及認證。近期,Sun 開源兩套 Web3 資安工具,協助工程師與開發者強化智能合約安全開發。Sun 撰寫本文,分享開發工具的緣由,並分享實例示範如何使用這兩套工具。 做為 XREX 資安長,我從今年 3 月開始主持公司內部培訓,提升資安團隊的兩大技能:Web3 資安分析能力,以及虛擬貨幣鏈上金流的威脅分析,也對 XREX 產品工程團隊舉辦了兩次 Web3 資安工作坊,這也是我分別在今年 6 月和 7 月開源兩套 Web3 資安工具 DeFiHackLabs 和 DeFiVulnLabs 的緣由。 每一次只要有 DeFi 項目遭駭,XREX 內部都會分析事件的根本原因並嘗試重現問題。我們會透過 Fork 主網特定區塊狀態,模擬駭客攻擊智能合約的手法,並觀察餘額狀態的改變。每一次的攻擊事件都可以幫助我們在未來開發時,避免踩到同樣的坑、犯同樣的錯。… ...閱讀更多
產品更新
2022 年 06 月 16 日
XREX 在最新的版本中,上架六款加密貨幣,包括:MATIC、BNB、AVAX、SAND、GMT 和AAVE。如同我們先前在 部落格 中提到的,XREX 致力於幫助用戶多元化數位資產組合,讓他們可以在風險獲得控管與評估的安全環境中,參與有潛力的區塊鏈項目。身為一個負責任的加密貨幣平台,XREX 團隊致力於確保用戶的不會暴露在未知的風險之中,如何保護用戶以及整個加密貨幣社群的權益,是我們的核心目標。 在經過全面且仔細的評估後,XREX 團隊選擇上架以下六種加密貨幣,新增交易對如下: MATIC/USDT BNB/USDT AVAX/USDT SAND/USDT GMT/USDT AAVE/USDT XREX 風險控管總監邢智超 (Michael Shing) 建置了一套全面的審核機制,可以在上架加密貨幣之前進行各層面的風險分析。邀請 XREX 各個部門的同仁依其專業參與評估,討論安全性、客戶服務、合規等議題。 風險管理是一套非常複雜的機制。除了常見的反洗錢和實名驗證外,在上架加密貨幣、推出新功能、選擇合作夥伴等重要決定之前,都必須仔細考慮不同的風險類別。在詳細的研究和調查之後,XREX 團隊才會共同做出最後決定。 我們都知道,投資不可能零風險,但 XREX 團隊對自己的資安和風控能力極具信心。我們也在此特別宣布,最新的版本將支援 MATIC、BNB、AVAX、SAND、GMT 和 AAVE 六種加密貨幣。 近期因為幣圈進入熊市,再加上一連串借貸平台爆發危機,引起許多人的焦慮與恐懼,特別是剛剛開始投資加密貨幣的新手。雖然最近市場表現不佳,但仍有許多區塊鏈新創和團隊持續地在他們的領域和項目上,做出努力和貢獻。也有許多人希望透過持有這些團隊所發行的加密貨幣,來支持這些富有潛力和前景的項目。 選擇投資在 XREX 交易所上市的加密貨幣,會是是一個安全又可靠的選擇,因為在上架之前,這些加密貨幣都經過了我們詳細的盡職調查。 XREX 期待可以提供您更多的投資選項,並在一定程度的風險控管之下,協助您多元化持有的數位資產。 交易愉快! XREX 團隊 常見問題: What is AAVE? What is AVAX? What is… ...閱讀更多
官方公告
2022 年 06 月 14 日
XREX 質押年回報率 (APR) XREX 質押幫助您在 XREX 平台上質押您的數位資產,每月一號會公告當月的年回報率 (APR) ,XREX 質押的獎勵是每日發放的,而且任何時間都可以贖回質押,沒有任何贖回費用。 XREX 質押的年回報率在每個月的第一天公告,質押的用戶在一整個月中,都可以獲得固定的年回報率。 2025 年 1 月的年回報率 (APR) 2025 年 1 月的年回報率,會在 2025 年 1 月 1 號 00:00 am (UTC+0) 公告。 2024 年 12 月的年回報率 (APR)— 本月 年回報率: 3.75% 實際年回報率: 3.18% (年回報率 — 平台費用) * 平台費用:質押獎勵的 15% 以下為過去每月 APR 紀錄… ...閱讀更多
官方公告
2022 年 06 月 08 日
作為一家合法合規的法幣與加密貨幣交易所,XREX 秉持國際最高標準為用戶提供安全且乾淨的交易環境。近日,XREX 資安團隊發現有不肖人士,假本公司徵才之名,行詐騙盜取個資之實,要求應徵者依其指示完成 XREX 開戶流程與驗證程序,即可獲得報酬。 XREX 特此聲明此種徵才行為與本公司無關,嚴正提醒所有 XREX 用戶務必透過官方管道申請並使用 XREX 服務,萬不可將帳號交予他人操作使用,以免捲入不法活動。 「假徵才,真詐騙」是常見的加密貨幣詐騙手法,誘騙應徵者在不知情的情況下,提供自己的交易所與銀行帳戶成為詐騙集團的犯罪工具,不僅自己成為詐騙受害者,還成為匯兌不法資金的人頭帳戶,淪為洗錢車手。 XREX 提醒您,務必小心保護個人帳號、錢包住址與身份資訊,不可配合或依照第三人指示,一步一步踏入詐騙陷阱,包括: 提供個人身份證明資料 提供交易所帳號密碼 將交易所帳號與銀行帳戶進行綁定 提供網路銀行帳號密碼 依照我國現行法律,提供帳戶予他人涉入不法用途者,具有刑法犯罪之共犯或幫助犯之疑慮,為了避免您捲入違法情事並淪為代罪羔羊,若您已依照他人指示,完成在 XREX 平台開戶,且將帳戶資訊供第三人使用,建議您透過下方 XREX 官方聯繫管道,儘速與本公司聯繫,本公司收到您的通報與請求後,會盡快協助您處理相關事宜,保護您不被他人利用,藉由您的名義從事不法活動。 最後,引述我國刑事局提醒,常見之求職詐騙的手法與話術,包括: 聲稱工作輕鬆單純、待遇高、可節稅 佯稱只要提供帳戶、僅需拿提款卡協助提領款項,即可抽成領薪 採手機打卡上下班制,毋需進辦公室即享高額待遇 假稱製作薪水帳戶、註冊公司會員,騙取身份證件或存摺成立人頭帳戶收取贓款,並申辦電話門號做為詐騙所用 受害人在捲入求職詐騙之後,不僅身份與帳號遭盜用,更慘淪詐欺共犯,名下所有帳戶都遭到凍結。 以此聲明嚴正警告,XREX 絕對不會透過社群媒體,如:Facebook、LINE、Telegram 等非官方管道向用戶索取個人資料。若您發現或已不小心將相關資訊提供予第三人,請儘速撥打警政署 165 反詐騙諮詢專線,或以下方官方管道聯繫 XREX,我們將儘速協助。 XREX 官方聯絡方式 官方電話:02–2721–1811 官方網站:https://xrex.io/zh/ 社群媒體:Discord、Telegram、Twitter、Facebook、Blog 與 LinkedIn 官方電子郵件信箱: 服務支援:support@xrex.io 資安支援:secops@xrex.io XREX 徵才管道 XREX 官網:https://xrex.breezy.hr/… ...閱讀更多
官方公告
2022 年 06 月 06 日
我們很開心地宣布,USDC/USD 和 USDC/USDT 交易對在 XREX 正式上線了! 作為一家法幣與加密貨幣交易所,XREX 從產品推出之初就支援 USDT。USDT 全世界第一個美金穩定幣,2014年推出以來,市值已達約 800 億美金,在穩定幣市場中佔據著主導地位。USDT 常被用於跨境支付和國際轉帳,特別是在印度和我們服務的其他新興市場。 現在,除了 USD 和 USDT 外,XREX 也支援USDC了!USDC/USD 和 USDC/USDT 交易對已在 XREX 上線,在平台上皆可用限價單、市價單交易,也可以直接轉換。 什麼是 USDC? USDC 於 2018 年正式發行,現在是世界上第二大穩定幣,市值超過 500 億美金。 來源: Circle USDC 有多種用途,但通常應用在去中心化金融 (DeFi) 協議、大型金融機構之間的交易,許多加密貨幣交易者也會將加密貨幣換為 USDC,作為持有資產的方式。 XREX 用戶無論是商業或是個人所需,經常在多個平台上運用不同的穩定幣交易與支付。XREX 支援 USDC 可以幫助用戶在收取、支付和轉換穩定幣時,節省更多時間、成本和精力。 全球企業可以使用 USDC 即時支付給跨國的供應商,也可以支付員工薪資。跨境匯款商、電子商務、遊戲化金融 (GamFi)、去中心化自治組織 (Decentralized Autonomous… ...閱讀更多
專欄與觀點
2022 年 06 月 01 日
不論是近期崩盤的 TerraUSD (UST),或歷經此次市場擠兌考驗,依然撐住其美金掛鉤的其他 DeFi 穩定幣們,包括 DAI、FRAX、FEI,或早期失敗的 Basis Cash(BAC)、Ampleforth,都可以對應到加密貨幣經濟學家 Robert Sams 於 2014 年發表之論文《A Note on A Note on Cryptocurrency Stabilisation : Seigniorage Shares Stabilisation : Seigniorage Shares》中提出的雙幣模型上。 Robert Sams 的雙幣模型:「交易」與「投機」之間的矛盾 為 DeFi 穩定幣設計建構出理論基礎的 Robert Sams 認為,比特幣之所以價格波動劇烈而無法成為計價的單位,是因為有兩個相互矛盾的需求同時存在著 ──「交易」與「投機」。 一、 交易的需求 當比特幣取得越來越多人的認同,並用之作為交易的媒介,比特幣的需求勢必會與日俱增,使用者也會希望比特幣的價格能日趨穩定,方便交易。 二、 投機的需求 但是,在交易需求增加的同時,就會有越多投機(資)人去預測未來需求的增加,進而開始買入並囤積 (HODL) 比特幣。此舉必定造成比特幣價格攀升,且無論是對現今需求認知的更新,還是對未來需求預測的改變,都會帶動比特幣價格的波動,使其無法成為好的計價單位,與交易的需求產生衝突。 在這樣的假設之下,Robert Sams 提議加密貨幣的發行與設計,應有分別可以滿足這兩個需求的代幣: 一、 穩定幣:純計價的單位與交易的媒介,價格穩定可滿足交易的需求。… ...閱讀更多
