(本文经授权转载自作者 – 冬冬,2005 年起为高中数学老师,龙腾出版社高中数学课本作者。2021年初进入币圈成为小韭菜,对于区块链的快速发展与更新着迷。目前亦为 None Capital 的研究员,也在方格子经营部落格,进行区块链的资讯整理与分享。)
区块链自 2009 年挖出第一颗比特币起,至 2023 年初为止,去中心化金融 DeFi 的市值最高曾达到 1990 亿美金(2021年11月)。
这样庞大的金融市场,自然会成为骇客下手的目标,早至 2014 年 Mt. Gox 交易所被骇而下线,到近期的 NFT 被骇,链上钱包被网路钓鱼、诈骗或骇客攻击的事件至今仍层出不穷。
根据 DeFiLlama 链上数据分析显示,截至 2023 年 1 月为止,去中心化金融 DeFi 上被骇的总金额高达 59.4 亿美金,其中又以 2021、2022 近两年最为大宗频繁。
骇客用来攻击的手法多样,从複杂的智能合约攻击或网路钓鱼攻击,到常见的诱导用户同意钱包的授权,因此,也提高了用户使用区块链的难度与风险。
用户端常见的钱包授权诈骗
一般来说,常见的诈骗手法会引导用户同意钱包的授权,在授权的页面上,许多人可能看不懂、或是不会真的仔细察看授权的细节,就在同意授权后,造成以下几种的可能:
通常在私钥或助记词外流的情况下,骇客便拥有了整个钱包的读取权,也就是说,骇客可以自由地将资产转走,即便用户没有进行任何的交易,钱包里的资产都会被转走。在这种情况下,不论怎么取消授权,可说是用户完全丧失保有这个钱包权限的可能性。
在这种情况之下,通常会建议新创一个钱包,并且尽快将资产转移到新的钱包里去。
2. 授权时不小心给诈骗集团签署了无限授权
通常在 Swap 的交易上,为了避免每次交易的频繁授权,在第一次进行交易的时候,就会请求用户签署平台对某指定代币的无限授权,一般来说,如果是正常的交易平台,还不会有太大的问题;但是如果骇客入侵了交易平台网站,或是用户一开始便签署给诈骗集团无限的授权,在这种情况下,骇客便可以无限地转出用户钱包里被授权的代币。
一般来说,如果碰到这样的情况还想使用原钱包的话,先可以透过取消授权的工具来解除授权再观察看看,常见的解除授权工具有 Revoke 与 Debank。
3. 授权时同意转出的资产为钱包中的最大值
有些诈骗网站在页面上跟用户说价格为 5U,但是在授权的内容中,却是要用户授权全部的资产,这时候如果用户同意授权的话,就会被对方转走钱包中所有的币。
通常在授权中,可以查看内容里的 Permission,看看显示是不是 Max Amount,或是查看转出的 Amount 是不是网页显示的价格。
这种情况的授权诈骗大多为一次性的授权,并不会无限地转出用户里的代币,但是如果碰到这种状况还想要使用原本的钱包的话,建议也先透过以上的取消授权工具解除授权后再观察看看。
参考资料:MetaMask Support
链上防骇的基础建设在哪里?
诈骗集团就是利用了用户对于授权文字叙述的不熟悉与複杂性而有机可趁,目前许多的链上钱包都在此做一些努力,例如 Solana 链的 Phantom 钱包便建置了诈骗及网路钓鱼的地址列表,如果用户进行交易的对象是列表中的地址,便会对用户发出警示。
参考资料:诈骗空投回收再利用!Phantom钱包推出「NFT销毁功能」,销毁后获得SOL
至于许多用户使用的 MetaMask 小狐狸钱包,有些项目正在发展浏览器的扩充功能做为防骇,例如 Pocket Universe 便可以在 Google Chrome、Brave、Edge 和 Firefox 安装扩充功能。
一旦安装了扩充功能,在用户要签署授权之前,它会协助检查交易的安全问题,并自动跳出显示这笔授权的安全性:如果是安全的授权就会是绿色;如果是危险的交易就会跳出红色的 WARNING 警示,并告诉用户这笔交易进行的后果。
参考资料:Pocket Universe 官网
除了 Pocket Universe 之外,还有其他项目也在防骇的基础建设上做努力,例如 Revoke、Blowfish Protect 或台湾的趋势科技也都发展链上防骇的产品,致力于提供防诈骗的服务。
虽然如此链上防诈的基础建设也持续的发展,但是链上的诈骗手法花样众多、也不时地推陈出新,用户在使用链上钱包进行交易时,自己还是必须要小心,要有更多资安风险意识才是。
衍伸阅读:
NFT名人再遭骇、PROOF/Moonbirds创办人近两百万美元NFT没了
骇客事件频传!NFT蓝筹藏家损失600ETH、RTFKT营运长19个CloneX被窃
MetaMask说明钱包更新诈骗手法,如何正确进行更新?
授权撤销网站Revoke推出浏览器插件!允许授权前跳出警告,预防钓鱼诈骗
