Asset Protection
#Asset Protection
專欄與觀點
2023 年 02 月 09 日
作者:Beosin 本文首刊於DeFiHackLabs,屬於XREX 交易所與慢霧科技 (SlowMist) 等多家資安公司聯手推出的Web3 資安學院系列專文 虛擬貨幣被盜案件舉例 1. Fenbushi Capital創始合夥人Bo Shen資產被盜事件 2022 年 11 月 23 日,根據區塊鏈安全審計公司 Beosin 旗下 BeosinEagleEye 安全風險監控、預警與阻斷平臺監測顯示,Fenbushi Capital 創始合夥人沈波在推特上表示:「個人常用 894 結尾錢包,共 4200 萬美元價值資產,其中包含 3800 萬枚USDC在紐約時間 11 月 10 日淩晨被盜。被盜資產為個人資金,與分布式相關基金無關。目前已當地報案,FBI 與律師均已介入。」 案件分析 Beosin 安全團隊通過分析USDC的轉賬交易,定位到了相關地址遭受的多筆盜幣交易,下圖為其中一筆盜幣交易 0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7。 由於該筆交易是由 0x6be85603322df6DC66163eF5f82A9c6ffBC5e894 地址發起,因此認定為私鑰洩露。目前被盜資金已經大部分兌換為 DAI,並被攻擊者轉移到下面兩個地址:0x4ac9ca41efe0ea19b8f3493a91d8a5f706e1e8f9;0x66F62574ab04989737228D18C3624f7FC1edAe14 還有 1606 個 Ether 在 0x24B93EED37e6FfE948A9bdF365d750B52AdCBC2e。 再次提醒用戶註意錢包安全,Beosin Trace… ...閱讀更多
官方公告
2022 年 11 月 23 日
XREX 近期發現有不肖人士在社群平台上假本公司徵才之名,行詐騙盜取個資之實,要求應徵者依其指示完成 XREX 開戶流程與驗證程序,並移轉帳號使用權限,即可獲得報酬。XREX 團隊正積極協助求職受害者蒐證,也因 XREX 是獲得多國執照與登記許可的公司,將依國際監管單位之要求採取後續相關動作。 作為一家合法合規的法幣與加密貨幣交易所,XREX秉持國際最高標準為用戶提供安全且乾淨的交易環境。 XREX 特此聲明此種徵才行為與本公司無關,本聲明最後也附上 XREX 所有官方溝通管道,請不要輕信使用其他管道聯繫的不法份子,更不可將個資與帳號交予他人操作使用,或將 XREX 帳號與密碼透露給他人,以免捲入不法活動,得不償失。 「假徵才,真詐騙」是常見的加密貨幣詐騙手法,誘騙應徵者在不知情的情況下,提供自己的交易所與銀行帳戶成為詐騙集團的犯罪工具,不僅自己成為詐騙受害者,還成為匯兌不法資金的人頭帳戶,淪為洗錢車手。 XREX 提醒您,務必小心保護個人帳號、錢包住址與身份資訊,不可配合或依照第三人指示,一步一步踏入詐騙陷阱,包括: 提供個人身份證明資料 提供交易所帳號密碼 將交易所帳號與銀行帳戶進行綁定 提供網路銀行帳號密碼 依照台灣現行法律,提供帳戶予他人涉入不法用途者,具有刑法犯罪之共犯或幫助犯之疑慮,為了避免您捲入違法情事並淪為代罪羔羊,若您已依照他人指示,完成在 XREX 平台開戶,且將帳戶資訊供第三人使用,建議您透過下方 XREX 官方聯繫管道,儘速與本公司聯繫,本公司收到您的通報與請求後,會盡快協助您處理相關事宜,保護您不被他人利用,藉由您的名義從事不法活動。 最後,引述台灣刑事局提醒,常見之求職詐騙的手法與話術,包括: 聲稱工作輕鬆單純、待遇高、可節稅 佯稱只要提供帳戶、僅需拿提款卡協助提領款項,即可抽成領薪 採手機打卡上下班制,毋需進辦公室即享高額待遇 假稱製作薪水帳戶、註冊公司會員,騙取身份證件或存摺成立人頭帳戶收取贓款,並申辦電話門號做為詐騙所用、 受害人在捲入求職詐騙之後,不僅身份與帳號遭盜用,更可能淪為詐欺共犯,名下所有帳戶都遭到凍結。以此聲明嚴正警告,XREX 絕對不會透過社群媒體,如:Facebook、LINE、Telegram 等非官方管道向用戶索取個人資料。若您發現或已不小心將相關資訊提供予第三人,請儘速撥打警政署 165 反詐騙諮詢專線,或以下方官方管道聯繫 XREX,我們將儘速協助您處理相關事宜 。 XREX 官方聯絡方式 官方電話:02–2721–1811 官方網站:https://xrex.io/zh/ 社群媒體:Discord、Telegram、Twitter、Facebook、Blog與LinkedIn 官方電子郵件信箱: – 服務支援:support@xrex.io –… ...閱讀更多
官方公告
2022 年 11 月 14 日
尊敬的 XREX 用戶: 隨著 FTX 交易所破產事件持續發酵,XREX 團隊決定從即刻起,暫停交易所有 FTX 發行代幣 FTT 的交易對,因為 FTT 出現嚴重的流動性危機,幣價波動劇烈,風險極高。 所有 FTT 交易對將暫停交易 FTT 入金服務暫停 FTT 仍開放出金,您可將錢包裡的 FTT 餘額提領至其他交易所或錢包 在如此艱難的時刻,XREX 希望盡最大努力協助我們的用戶,包括: 若用戶的 XREX 錢包中擁有低於 1 的 FTT 餘額,我們將其自動提升至 1 FTT,以確保不受到最低提領限額的阻礙,可以順利提領 若有用戶仍希望可以出售其在 XREX 錢包中持有的 FTT 餘額,我們會提供專門管道協助 如果您仍想要出售您在 XREX 錢包中的 FTT 餘額,請通過電郵 support@xrex.io 或平台中的客服窗口與 XREX 客服團隊聯繫,我們將協助您。 再次提醒您,XREX… ...閱讀更多
官方公告
2022 年 11 月 12 日
Dear XREX user, It has been a long week for the crypto industry. We understand the extreme uncertainties have caused severe stress to many people. We would like to take this opportunity to share our thoughts and provide an insight on how we plan to navigate through these headwinds. 1)… ...閱讀更多
專欄與觀點
2022 年 09 月 05 日
2022 年加密貨幣界的大事件,絕對必須要提到以太坊 (Ethereum) 的重大升級,又被稱為「合併」(The Merge)。根據最新消息,預計是在 9 月分段進行,重點時間為 9 月 6 日與 9月 10 日到 9 月 20 日之間,合併後將正式於以太坊區塊鏈啟用持有量證明機制 (Proof of Stake,後統稱PoS)。 以太坊是目前市值全球第二大區塊鏈,一直以工作量證明 (Proof of Work,後統稱 PoW)共識機制來記錄鏈上交易之有效性。本次升級對於加密貨幣市場將會是重要時刻;在升級前的幾個月,市場就已經吵得沸沸揚揚,甚至有呼籲用戶提前換幣的詐騙出現。在如此動盪的時刻,該如何應對? XREX 資安團隊整理了以太坊「合併」帶來的改變,並分享如何在 PoW 與 PoS 轉換的陣痛期間,保護自己的數位資產,以免誤入詐騙陷阱。 投資詐騙一直在你我生活之中,任何變動改變甚至是混亂恐慌的時期,對詐騙者而言都是一個宰割肥羊的好時機。因此,謹記冷靜面對,熟悉技術操作,方能跳脫詐騙迴圈。 以太坊「合併」究竟是什麼? 背景在過去七年中,以太坊一直在為更新成 PoS 做準備;本次升級與過往不同,分為營運商與以太坊更新兩個面向: 1. 營運商 需要同時更新共識層 (CL) 與執行層 (EL) 用戶端。以往只要更新其中一層,盡量避免影響用戶交易。但這次不同,各交易平台已陸續公告將短暫停止以太坊鏈上服務,待合併後確保以太坊網路穩定才會恢復服務。例如 XREX 早前的公告。 2. 以太坊更新 (分兩段進行) 第一階段名為… ...閱讀更多
部落格
2022 年 08 月 05 日
在前一篇文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》中,我們討論了何謂 Web3、Web3 世界中的攻擊事件與損失數據報告、駭客入侵平台與用戶帳號的企圖,以及三種 Web3 攻擊與詐騙方式。本篇文章將接續討論另外六種 Web3 駭客攻擊與詐騙手法,延續前面三種,本篇將從第四種詐騙手法開始。 四、社群媒體免費贈送詐騙 我們每天都會使用的各種社群媒體,例如:在 Facebook、Instangram、Twitter 等等,都是駭客常用的工具。駭客會在社群媒體註冊假帳號或盜用其帳號,偽冒知名企業、政治與各領域知名人士的身份,發文宣稱要送出加密貨幣,例如:「向我發送 1 顆以太幣,我將返還 10 顆以太幣給你」,引誘看見貼文的人上鉤。 去年底,印度總理莫迪擁有超過七千萬人追蹤的推特帳號被盜,駭客就發文宣稱有免費的比特幣,要大家快來搶,因為是擁有藍勾勾認證的帳號,又是印度總理,很容易讓人信以為真,但是只要點擊貼文中的連結,就會面臨資安風險。 這些社群媒體上的貼文,引誘其他人去點擊特定連結,或是發送加密貨幣到特定地址以換取更多加密貨幣,這些都只是駭客用來吸金的話術。更可怕的是,在受害者向駭客索討受騙金額時,駭客還可能以「需要再向我發送 30% 手續費」等說法,再次行騙。 圖 4.1 / 駭客利用假冒的粉絲專頁,分享其他帳號的大頭貼照,吸引帳號擁有者的注意 圖 4.2 /假冒帳號在本尊的推文底下留言,並且立刻安排多個假帳號附和、按讚 圖 4.3 / 駭客直接盜用官方認證帳號,騙取使用者信任 如何防範免費贈送詐騙呢?XREX 建議您: 多方驗證消息來源,請勿聽信任何免費贈送的廣告。 對於免費贈幣、以一換十這種「好得不真實」的活動,必須三思。 必須謹記,去中心化金融不存在反悔操作,錢轉出去就回不來了。 對任何轉帳或授權有關的錢包應用程式彈出式視窗,保持謹慎。 五、龐氏騙局 — 高報酬投資詐騙 「龐氏騙局」是大家經常聽見的名詞,但究竟什麼是龐氏騙局呢?基本上,龐氏騙局的運作模式是以投資為名,以高額回報誘騙受害者投資。龐氏騙局通常第一眼看,會覺得與普通證券基金的模式無異,但在龐氏騙局中,投資回報事實上是來自後面加入的投資者,而不是公司自身盈利。 龐氏騙局最初發生於 20 世紀初的美國,吸引第一批投資人之後,不斷再拉入更多投資人將資金投入項目。實際上,項目並沒有盈利,而是將後期投資人的資金變成了早期投資人的利息,今天我們經常聽到的「資金盤」或「老鼠會」,就是龐氏騙局的各種變體。 如何判斷龐氏騙局呢?龐氏騙局的常見特徵是模糊不清的經濟模型,也就是項目本身很難運作也不知其獲利來源,卻可以承諾投資人明顯不合理的高收益報酬率,從以下的平台與對話截圖就是實例。 圖 5.1 / 平台提供日收益率達到 2.72%… ...閱讀更多
官方公告
2022 年 06 月 08 日
作為一家合法合規的法幣與加密貨幣交易所,XREX 秉持國際最高標準為用戶提供安全且乾淨的交易環境。近日,XREX 資安團隊發現有不肖人士,假本公司徵才之名,行詐騙盜取個資之實,要求應徵者依其指示完成 XREX 開戶流程與驗證程序,即可獲得報酬。 XREX 特此聲明此種徵才行為與本公司無關,嚴正提醒所有 XREX 用戶務必透過官方管道申請並使用 XREX 服務,萬不可將帳號交予他人操作使用,以免捲入不法活動。 「假徵才,真詐騙」是常見的加密貨幣詐騙手法,誘騙應徵者在不知情的情況下,提供自己的交易所與銀行帳戶成為詐騙集團的犯罪工具,不僅自己成為詐騙受害者,還成為匯兌不法資金的人頭帳戶,淪為洗錢車手。 XREX 提醒您,務必小心保護個人帳號、錢包住址與身份資訊,不可配合或依照第三人指示,一步一步踏入詐騙陷阱,包括: 提供個人身份證明資料 提供交易所帳號密碼 將交易所帳號與銀行帳戶進行綁定 提供網路銀行帳號密碼 依照我國現行法律,提供帳戶予他人涉入不法用途者,具有刑法犯罪之共犯或幫助犯之疑慮,為了避免您捲入違法情事並淪為代罪羔羊,若您已依照他人指示,完成在 XREX 平台開戶,且將帳戶資訊供第三人使用,建議您透過下方 XREX 官方聯繫管道,儘速與本公司聯繫,本公司收到您的通報與請求後,會盡快協助您處理相關事宜,保護您不被他人利用,藉由您的名義從事不法活動。 最後,引述我國刑事局提醒,常見之求職詐騙的手法與話術,包括: 聲稱工作輕鬆單純、待遇高、可節稅 佯稱只要提供帳戶、僅需拿提款卡協助提領款項,即可抽成領薪 採手機打卡上下班制,毋需進辦公室即享高額待遇 假稱製作薪水帳戶、註冊公司會員,騙取身份證件或存摺成立人頭帳戶收取贓款,並申辦電話門號做為詐騙所用 受害人在捲入求職詐騙之後,不僅身份與帳號遭盜用,更慘淪詐欺共犯,名下所有帳戶都遭到凍結。 以此聲明嚴正警告,XREX 絕對不會透過社群媒體,如:Facebook、LINE、Telegram 等非官方管道向用戶索取個人資料。若您發現或已不小心將相關資訊提供予第三人,請儘速撥打警政署 165 反詐騙諮詢專線,或以下方官方管道聯繫 XREX,我們將儘速協助。 XREX 官方聯絡方式 官方電話:02–2721–1811 官方網站:https://xrex.io/zh/ 社群媒體:Discord、Telegram、Twitter、Facebook、Blog 與 LinkedIn 官方電子郵件信箱: 服務支援:support@xrex.io 資安支援:secops@xrex.io XREX 徵才管道 XREX 官網:https://xrex.breezy.hr/… ...閱讀更多