Web3 是近幾年來的搜尋關鍵字，在許多新聞報導、國際會議、產業研討會以及金融創新相關的討論，都可以看到 Web3 的討論，圍繞在區塊鏈以及加密貨幣帶來的創新與突破；於此同時，也因為相關技術仍處於早期，濫用的情況頻傳，很多人對於 Web3 世界中的詐騙、洗錢和駭客攻擊充滿恐懼。本文從 Web3 概念的討論開始，由加密貨幣平台 XREX 的資安團隊由淺入深地了解 Web3 世界中的資安觀念，解析駭客手法，並提供讀者務實的建議，用以保護自己的個資和數位資產。

什麼是 Web3？

1990 年代開始，網路慢慢地深入人類生活的各個層面，從日常生活到政治經濟，一直到我們的學習方法、通訊方式、交友模式與對時空距離的概念，都受到網路這個新興科技的影響。過去 30 年來，全球數十億人都成為全球資訊網中的一員。然而，沈浸於以網路為基礎的強大 IT 設施的同時，我們也正面臨極大的挑戰與入侵。少數科技巨頭壟斷了網路產業，也同時也壟斷了權力，可以單方面決定允許什麼、不允許什麼。

「網路＋電腦」是 Web1.0 的時代，「網路＋移動式裝置」則是 Web2.0。在 Web1.0 與 2.0 的時代，科技巨頭提供服務的同時，也一手掌握用戶產生的數據、資訊、內容，也就是俗稱的「中心化」結構。

Facebook 的言論審查制度、Google 的搜尋演算法、Spotify 向創作者抽取高達 30% 的獲利、線上遊戲停止營運後虛寶價值就歸零等等，都是我們在日常生活中，最貼近也最常見的案例。創造內容的用戶難以獲得分潤，也不掌握任何所有權，甚至在不知情的狀況下被利用，被刻意投放的資訊與廣告影響認知與決策，這些都是 Web1.0 與 Web2.0 所製造出來的問題，這也催生了 Web3 的時代。

Web3 技術被視為解決 Web1.0 與 Web2.0 產生的最佳解答。Web3 的基礎是區塊鏈技術，因為區塊鏈技術原生的「去中心化」結構，具有不可篡改性、公開透明性與開放源碼的天性，無論是內容還是權力，都不再是由大型科技公司與平台一手壟斷，而是由使用者建立、運營和擁有。自 2008 年中本聰發表比特幣白皮書以來，我們逐步想像並踏入 Web3 的世界，秉持著去中心化精神，我們已經看到比特幣、以太坊、NFT、DeFi，一直到現在的 Move-to-earn 爆紅的 STEPN，都是 Web3 的新嘗試、新實驗，透過不同項目的實踐，將數位自主權交還給用戶，在實現用户共同建立、共同治理的同時，用户也可以分享平臺的價值與利潤。

當然，所有科技在發展演進的過程中，會帶來益處，也同時可能會被濫用而造成問題。現在聽到加密貨幣，很多人的第一個反應就是洗錢與詐騙，當區塊鏈具備去中心化特性的同時，也意味著用戶必須承擔保管資產和身份的絕對責任，一旦用戶遭駭或遭詐騙，沒有任何機構或實體可以擅自更改區塊鏈的紀錄，這也讓許多犯罪集團蠢蠢欲動。

XREX 資安團隊撰寫本文，整理多個 Web3 世界中常見的攻擊手法與慣用話術，讓我們認識不肖份子和駭客的攻擊手法與慣用話術，在區塊鏈建構的 Web3 世界中，學習保護自己的資料與加密貨幣資產。

Web 3 安全事件損失數據

根據知名區塊鏈安全公司慢霧科技 (SlowMist) 監測數據顯示，從 2012 年到 2022 年 6 月，整個區塊鏈生態系存在至少 787 起被駭事件，損失金額超過 267 億美元。

根據美國聯邦貿易委員會 (Federal Trade Commission, FTC) 的研究，2021 年至 2022 年第一季，美國就有 46,000 人回報遭到加密貨幣金融欺詐，損失價值超過 10 億美元的加密貨幣。值得注意的是，這項數據並未統計全球數據，也只紀錄了有報案的數據，這也代表還有很多不在檯面上的案件，是我們難以確知的受害人數與損失金額。

駭客想要的是什麼？

駭客的目的與想要得到的東西，如上圖所示，可以簡化成以下四大類別：

加密資產
錢包層
轉帳權
Web2.0 憑證

駭客的各種攻擊手段，都是為了嘗試取得以下任一資訊，取得不法獲利：

取得使用者擁有的硬通貨，例如：比特幣、以太幣等強勢加密貨幣或高價的 NFT。最常見也最經典的手法，就是「給 1 塊錢，返還 10 塊錢」投資贈禮騙局。
取得加密貨幣錢包的機密資訊，例如：錢包私鑰、註記詞，或錢包密碼。
取得在智能合約上，使用者轉移資產的核准授權，後續再將使用者的虛擬資產轉道別的錢包。
取得使用者在 Web2.0 的憑證資訊，例如：在加密貨幣交易所的帳號與密碼。

在進入 Web3 的世界時，可以怎麼保護自己的個資以及資產呢？所謂知己知彼，百戰百勝，我們必須清楚地認知到，不管是在 Web1.0、Web2.0，還是在 Web3 的世界裡，都是有風險的，我們可以透過了解常見威脅與攻擊的手法，防止被騙或捲入不法行為。同時，也訓練自己保持良好的資安意識與習慣，隨時提高警覺，不易遭到詐騙或入侵。最後則是在每次按下滑鼠確認之前，勇於質疑，只要有一絲懷疑與不確定，就應該再次確認。

以下，XREX 收集整理了九種常見的 Web3 攻擊手法，教您如何辨識攻擊與詐騙，守護自己的資料與資產安全：

九種常見的 Web3 攻擊手法

一、憑證釣魚攻擊 (Credential Phishing Attack)

憑證釣魚攻擊，簡而言之就是駭客假冒網站，像是假冒交易所的登入頁面或假冒空投解鎖頁面，使用者誤認為是官方網頁，就輸入自己的帳號與密碼，立刻就被駭客竊走帳密資訊。

駭者會使用 Social-Engineer Toolkit (SET) 或 Goclone 等工具，把正牌網站的前端設計和佈局，原封不動地直接複製到本地伺服器，再另外註冊跟官網相似的網域名稱，並掛上對應的 SSL 憑證。許多使用者因為一時不察，就很容易上鉤。

除了需要特別注意網址的真實性外，也要特別小心所有的通訊管道，因為只要是能與使用者溝通的方式，都有可能成為攻擊途徑，例如：電子郵件、社群媒體、手機簡訊、Telegram 假客服等等。

圖 1. 1 / 駭客透過 Email 向使用者發送虛假的 Coinbase 帳號遭鎖定通知

圖 1.2 / 若是點擊 View Accounts，用戶會被導向至釣魚域名 coinbaseclouds.link

憑證釣魚攻擊對駭客而言是一個低成本而高報酬的方式，因為發送10 萬封釣魚信件成本僅需幾十塊美金，但只要有一到兩個人上鉤，可能就足以讓駭客回本，甚至得到極高的不法獲利。

如何防範憑證釣魚攻擊呢？XREX 建議您：

將常用網站入口加入書籤或我的最愛，避免誤入釣魚網站
使用 Lastpass、NordPass 或 Keeper Security 等密碼管理器，為不同網站、不同帳戶設定不同密碼，才不會因為一組帳密被盜，駭客就可以發動所謂的「撞庫攻擊」，登入所有不同的帳戶。從資安角度建議，每組密碼應具有至少 10 個字元，其中包括至少一個大寫字母、一個小寫字母、一個數字和一個特殊符號。
在瀏覽器安裝防詐騙插件，例如：Netcraft Extension、PeckShieldAlert 或 MetaShield，自動檢測釣魚網站。
發現可疑網站即時回報，共同守護去中心化生態系的安全。

二、Google 廣告釣魚詐騙

Google 廣告釣魚詐騙與憑證釣魚攻擊類似，駭客偽造虛假的交易所登入頁面、虛假空投解鎖頁面，並註冊與官網相似網域名稱與掛上對應的 SSL 憑證。不同的是，駭客會在 Google 廣告上關鍵字競價，使自己的網站 SEO 排名高於官方網站，也就是當使用者透過搜尋引擎搜尋時，很容易在看見官方網站之前，就誤擊進入假的網站。

下圖我們用最近非常火紅的 move-to-earn 項目 STEPN 為例，在 Google 上輸入 stepn，出現的搜尋結果前四名，都是花錢下廣告的假網站。