加密市场的恶意诈骗层出不穷。本文精选常见的六大诈骗手法(网路钓鱼、Rug Pull、零 U 攻击…),同时分享该如何防范、提升资产安全。
(前情提要:Rug pull 套路拆解:近2万个拉地毯项目,诈骗者最终在DeFi套现)
(背景补充:报告:北韩骇客伪装「加密货币VC」,钓鱼诱导投资者安装恶意软体)
本文目录
加密货币市场不畏币价的涨跌,仍持续蓬勃发展。但与此同时,恶意诈骗也是层出不穷,受害事件时有所闻。快速变动的币圈有很多致富机会,但同时也暗藏许多风险。
下文动区为您整理六种最常见的诈骗手法,希望可以帮助读者提高警觉,学习怎麽保护好自己的资产。
常见诈骗手法一:网路钓鱼/恶意合约
网路钓鱼诈骗其实已存在多时,例如你可能会收到一封通知你「帐号出现安全问题」的电子邮件,并要求你登入修改帐号密码。殊不知当你点击信中连结时,就会被导入到与原始平台非常相似的钓鱼网站,伺机获取你的隐私资讯。
在币圈常用的 Discord 或是 Telegram 等社交平台中,也很常传出攻击者在盗取管理员身份之後,发送「免费空投讯息」、「高报酬抽奖」或是私下与用户联系,让受害者无意间给出个人资料或助记词的攻击事件。
延伸阅读:啾啾鞋自白!领NFT空投遭假Metamask钓鱼,钱包资产3分钟被盗领一空
延伸阅读:慎防钓鱼|统计 : 6月Discord NFT诈骗增55%、损失2200万美元、攻击源疑自中国
另外在进行 DeFi 操作时,用户也需要注意是否真的在与实际项目互动,常有恶意人士会注册看起来与项目非常相似的网域名称和假网站,当你在粗心的状况下签署时,钱包资产就会被盗窃一空。(Google搜索引擎的搜寻结果前几名,常常出现诈骗的广告钓鱼网站,务必小心谨慎)
简而言之,当你发现有可疑的线索时,请提高警觉或与项目方官方管道进行确认,或者执行操作时确定是否网址为正确,与其它管道(Twitter、Discord、Telegram 等)提供的网址是否皆为一致、切记不要透露你的私钥或助记词给任何人。
为了加强侦测恶意合约,你也可以下载由 Revoke.Cash 推出的浏览器扩充插件,提升操作安全性…浏览「安装教学」诈骗手法二:恶意应用程式
我们已经很习惯在 Apple Store 或 Google Play 下载应用程式,但有心人士会刻意模仿当前一些热门的项目,例如钱包或游戏,诱导用户下载。
一旦用户安装了恶意应用程式,并真的往地址转移资金时,实际上则是在向诈欺者的地址发送资金。因此下载前务必确定是从官方连结、或可靠来源进行下载,保持谨慎。
此外也要小心常用的设备不要下载可疑的软体,以免伪装成一般应用程式的软体伺机攻击。所以更加注意安全性的用户,会将常用来交易加密货币的设备保持乾净。
延伸阅读:安卓恶意软体GodFather「盗取2FA验证码」,逾200种加密钱包遭攻击
常见诈骗手法三:项目方 Rug Pull
发行加密货币其实不难,任何人只需少许资金就能「复制」其他代币的智能合约,将其上线主网,这种便利性也构成了诈骗者的天堂、交易者的梦靥 — 拉地毯(Rug pull)。
据一篇统计 2020 年 4 月到 2021 年 9 月的研究报告,在分析了近 2.7 万个在 Uniswap 上架的代币後,发现仅有 631 个属於「非恶意的」,也就是有高达 97.7% 的上架代币都可能 Rug pull 或是相当可疑。
这些项目通常力求在短时间内收集投资者的资金,并卷款潜逃。由於加密货币法规尚未完善、加上不易追踪的特性,受害者们往往求助无门。
比较有名的案例如动区此前曾报导的鱿鱼币 SQUID,当时该项目藉着 Netflix 热门影集鱿鱼游戏爆红,币价双日涨幅达 5571%,但官方随即砸盘,从历史高点 2,856.64 美元近乎归零,至少 210 万美元遭项目方卷走。
更多查明项目真实性的方法,可以参考本篇文章:如何判断软地毯骗局 (Rug Pull) ?4 大观察重点明辨项目真实性
常见诈骗手法四:假交易所、高报酬投资
为了买卖交密货币、或进行各种投资行为,用户会去注册交易所,除了市场上常听到的币安(Binance)、Coinbase、火必…之外,其实币圈还充斥着许多小型的交易平台。
有些小型交易所在社群提供不合常理的高获利投资、或是用赚大钱用户的案例,吸引新用户加入。起初投资页面或许还正常、帐面上也确实赚到了钱,诱使用户投入更多资金;但是当用户有天想出金取回法币时,才发现一切都只是纸上富贵,甚至有些交易所会祭出各种名目阻止用户提款(要先汇款一笔USDT所得税)。
为了避免发生这种状况,当你听到一个新交易所时,最好先上网搜寻相关资讯、做好功课,选择有信誉,或有提供资产证明的交易所,当提供太好的获利方案时也要特别提高警觉。
常见诈骗手法五:零 U 投毒攻击
近期有多个区块链上频繁出现零 U 转帐现象,骇客透过发送首尾相同的地址来迷惑使用者,使粗心大意的使用者以为那是目标地址,进而转帐至错误钱包。其诈骗手法可以简单分为 3 步:
- 诈骗者监控你正常转帐的交易
- 使用地址生成器创建一个与你转帐对象相近的地址(骇客可以在几秒内生成与用户互动地址前後 7 位相同的钱包)
- 用生成的雷同地址向用户转帐 0 美元
完成以上步骤後,被攻击者的交易历史中,就会掺杂错误的雷同地址,只需静静等待被攻击者在下一次转帐时发懒惰,选取较近交易的近似地址,即可完成诈骗。
小狐狸钱包 Metamask 表示,虽然该攻击手法简单,但特别容易成功,为防止更多人遭受攻击并蒙受钱财损失,也公告提出以下 5 点安全建议 :
常见诈骗手法六:社交送礼骗局
在 Twitter、Facebook 或 Telegram 等常见的社群平台,常会看到有人在知名人士的发文中回覆类似以下的讯息:「如果你发送比特币到以下地址,我就会返回双倍代币给你。」
在 2020 年 7 月时,就曾爆发推特史上最严重的骇客事件,包括欧巴马、特斯拉 CEO 马斯克、比尔盖兹、美国民主党总统候选人拜登…等名人帐号皆被盗取,发布了关於回馈社群比特币的钓鱼诈骗贴文。
这类型贴文几乎都是运用人们贪婪的心理,但毫无疑问的是,一旦你把资产转到攻击者的钱包,资产就再也拿不回来了。
延伸阅读:Beeple推特遭骇、发假 LV NFT 抽奖!骇客诈走 43.8 万镁,含MAYC、Otherdeeds…
📍相关报导📍
汇丰银行CEO呛 : 不看好加密货币!HSBC不会涉足交易所服务
趁势进军散户市场!富达正式推出Fidelity Crypto,提供「加密货币零售服务」
FTX倒闭涟漪》美参议员施压富达:退休金计划「该放弃提供BTC敞口」
