一觉醒来NFT全消失!区块链诈骗怎么防?
2023-06-11分类:NFT 阅读()
NFT、区块链应用诈骗层出不穷,到底该怎么辨识和防范?本集邀请到资安专家,带你由浅入深搞懂区块链的资安!
印象深刻的诈骗案例?
去年底,FTX交易所倒闭事件风风雨雨,包含政治圈、财经界、华尔街都很震惊,原来是一个巨型诈骗,这也是印象深刻的一部分。
去年,乌克兰政府财政部开放加密货币的捐款方式,陆陆续续收到反战赞助者的金额后,于是政府想透过空投的方式回馈赞助者。但是没想到骇客的手脚更快,早就已经透过假空投发给捐赠者进行诈骗。导致最后政府也不能发了,因为大家已经分不出是诈骗还是真的空投。
区块链为何有风险?漏洞出现在哪里?
以Web3来说,有几个特征。
- 首先是去中心化,好处在于交易不会被特定机构掌控,在交易和知识内容上更自由,精神上是好的。
- 第二点是代币化,所有东西都可以对价、可以被交换。现在很多NFT或是交易所的代币等,或什至把文件透过区块链代币化。
- 第三可以自托管钱包和对数据、算法有所有权。
不过,用户真的有能力掌控这么多的数据资料吗?在去中心化的情况下,交易错误时怎么办?Web3这些特点超出常人控制范围时,就成了诈骗的一大突破点。
和传统金融相比,风险上有什么不一样?
要去中心化、代币化、自己托管,就和传统上很不一样。FinTech公司做到部分检测和演练,包括DDos的应变机制、ATM、APP资安、渗透测试等,但当这些检测来到区块链领域时,由于Web3以上的特性,导致面对的风险和应对,就和传统很不一样。
分散式阻断服务(DDoS):网站会因为太多人存取的情况下当机无法提供服务,而骇客就是利用这一点,透过多点式攻击来瘫痪网站。
就像FTX当初也有法遵、有法规,但其实他法规是合自己的规范,所以其实有很多漏洞。
Web3强调去中心化,但在帐户安全上,密码忘记要找谁救回来?如果今天做NFT交易,要怎么确定交易的窗口的是这个人吗?谁来做验证?交易容错也是一个问题,谁来约定价钱?目前的跨国转帐Swift机制可以实现国际跨国交易,但区块链世界中,交易错误是不可逆的,如果交易错误怎么办?交易所本身的存款储备金是否足够?这些都是可以思考、检核的点。
区块链诈骗常见的案例、模式?
许多知名艺人,包括陈零九和周杰伦都被骗过。
周杰伦的案例是很常见的一种诈骗型式,主要是透过社群(Discord、Twitter等)传播带有假消息的钓鱼网址,而钓鱼网站也和官方网站几乎无法分辨。当用户看到假消息,想要取得免费空投或是赠品时,必须绑定钱包,但诈骗会在权限设定上动手脚,进而夺取钱包的控制权。但因为用户大多不会仔细检查,因此就落入诈骗圈套中。
也许很多人会怀疑,有这么容易被骗吗?举例来说,现在网络上有一真一假,两个几乎一样的网站,用户该如何辨别真假?其实单纯透过肉眼看网站画面很难辨别,但首先要先检查网址、确认网址的年龄、流量、交易次数等,才能比较清楚辨认。
Uniswap过去一年,出现大量犯罪集团透过电子邮件或社群吸引用户,以此进行诈骗。如果拿攻击者的代币去查,会发现代币的规格没什么问题,而比较有警觉心的老手去查也会觉得没问题,直到空投的当下才会发现是诈骗。
而新手被骗大多是假币,更多状况是根本没有发行虚拟货币,透过名人背书吸引用户投资。另外,国内也很常见约会型诈骗,其实和早期的股票、游戏诈骗很类似。
有没有一些能辨识诈骗的方法?
要养成一个习惯,首先要有危机意识,不要相信眼前看到的东西。
全球最大交易所币安的CCO,就被诈骗集团用Deepfake方式假造声音和影像,和币安进行视讯通话,试图让项目在币安上市。
做交易行为前,还是要先做查证。这些行为大多来自社交工程(Discord、Twitter、Linkedin),币安也说过Linkedin上有大约7000多名用户说自己在币安工作,但其实实际上只有大约50个是真的;Discord上也有很多机器人Bot的诈骗案例。即使有名人背书,也可能是犯罪集团的诈骗,所以不管是元宇宙、虚拟货币等议题,都需要小心。
如果要进阶一点查证,可以透过区块链浏览器、分析网站进行分析,例如etherscan、Chainsight等,都可以进行反查,确认钱包有没有异常的交易行为。或是像趋势科技也有在做相关的浏览器扩充,可以针对交易网站、金流异常做通知。
另外,如果真的有在做币的交易,除了热钱包之外,有些资产还是可以放在冷钱包中。不过很多冷钱包是需要连网的,基本上只要有连网,就还是有风险。另外,病毒也会影响Web3,也是会骇进钱包中的。用户被攻击后,交易的地址可能会被变更、资产可能会莫名消失等。
其实在做交易时,会经过三个层面:第一层透过Web2、第二层经过社群、第三层导去Web3,用户应该试着在第一层Web2、第二层就要开始做预防、意识到诈骗行为。
今年Web3有什么趋势或有什么观察?
加密产业中,资安在这几年慢慢开始成长。去年开始有越来越多针对区块链和Web3的公司,很多资安议题也开始关注,例如数字资产、区块链上讯息和货币的真伪等。现在也越来越多交易所开始做深层、底层链的资安防护,对网路攻击也开始有防护措施。另外,Web3世界中,性别歧视骚扰也是一个问题。
Tags:
标签云
-
Binance OKx 虚拟货币交易所 USDT 模因币 BRC20 TRC20 Staking 虚拟货币 ARB Sol gamefi 小狐狸钱包 DAO web3.0 流动性挖矿 什么是DeFi ICO 什么是NFT 什么是稳定币 SHIB 虚拟货币钱包 加密货币交易所 加密货币 什么是加密货币 GST 资金费率 MAX 区块链技术 区块链投资 区块链是什么 Coinw BingX Gate.io Bitfinex MEXC BITGET BitMEX Kucoin pionex Bybit BitMart KYC 网格交易 LTC Litecoin PI 什么是狗狗币 LUNA USDC