NFT、区块链应用诈骗层出不穷,到底该怎么辨识和防范?本集邀请到资安专家,带你由浅入深搞懂区块链的资安!
印象深刻的诈骗案例?
去年底,FTX交易所倒闭事件风风雨雨,包含政治圈、财经界、华尔街都很震惊,原来是一个巨型诈骗,这也是印象深刻的一部分。
去年,乌克兰政府财政部开放加密货币的捐款方式,陆陆续续收到反战赞助者的金额后,于是政府想透过空投的方式回馈赞助者。但是没想到骇客的手脚更快,早就已经透过假空投发给捐赠者进行诈骗。导致最后政府也不能发了,因为大家已经分不出是诈骗还是真的空投。
区块链为何有风险?漏洞出现在哪里?
以Web3来说,有几个特征。
- 首先是去中心化,好处在于交易不会被特定机构掌控,在交易和知识内容上更自由,精神上是好的。
- 第二点是代币化,所有东西都可以对价、可以被交换。现在很多NFT或是交易所的代币等,或什至把文件透过区块链代币化。
- 第三可以自托管钱包和对数据、算法有所有权。
不过,用户真的有能力掌控这么多的数据资料吗?在去中心化的情况下,交易错误时怎么办?Web3这些特点超出常人控制范围时,就成了诈骗的一大突破点。
和传统金融相比,风险上有什么不一样?
要去中心化、代币化、自己托管,就和传统上很不一样。FinTech公司做到部分检测和演练,包括DDos的应变机制、ATM、APP资安、渗透测试等,但当这些检测来到区块链领域时,由于Web3以上的特性,导致面对的风险和应对,就和传统很不一样。
分散式阻断服务(DDoS):网站会因为太多人存取的情况下当机无法提供服务,而骇客就是利用这一点,透过多点式攻击来瘫痪网站。
就像FTX当初也有法遵、有法规,但其实他法规是合自己的规范,所以其实有很多漏洞。
Web3强调去中心化,但在帐户安全上,密码忘记要找谁救回来?如果今天做NFT交易,要怎么确定交易的窗口的是这个人吗?谁来做验证?交易容错也是一个问题,谁来约定价钱?目前的跨国转帐Swift机制可以实现国际跨国交易,但区块链世界中,交易错误是不可逆的,如果交易错误怎么办?交易所本身的存款储备金是否足够?这些都是可以思考、检核的点。
区块链诈骗常见的案例、模式?
许多知名艺人,包括陈零九和周杰伦都被骗过。
周杰伦的案例是很常见的一种诈骗型式,主要是透过社群(Discord、Twitter等)传播带有假消息的钓鱼网址,而钓鱼网站也和官方网站几乎无法分辨。当用户看到假消息,想要取得免费空投或是赠品时,必须绑定钱包,但诈骗会在权限设定上动手脚,进而夺取钱包的控制权。但因为用户大多不会仔细检查,因此就落入诈骗圈套中。
也许很多人会怀疑,有这么容易被骗吗?举例来说,现在网络上有一真一假,两个几乎一样的网站,用户该如何辨别真假?其实单纯透过肉眼看网站画面很难辨别,但首先要先检查网址、确认网址的年龄、流量、交易次数等,才能比较清楚辨认。
Uniswap过去一年,出现大量犯罪集团透过电子邮件或社群吸引用户,以此进行诈骗。如果拿攻击者的代币去查,会发现代币的规格没什么问题,而比较有警觉心的老手去查也会觉得没问题,直到空投的当下才会发现是诈骗。
而新手被骗大多是假币,更多状况是根本没有发行虚拟货币,透过名人背书吸引用户投资。另外,国内也很常见约会型诈骗,其实和早期的股票、游戏诈骗很类似。
有没有一些能辨识诈骗的方法?
要养成一个习惯,首先要有危机意识,不要相信眼前看到的东西。
全球最大交易所币安的CCO,就被诈骗集团用Deepfake方式假造声音和影像,和币安进行视讯通话,试图让项目在币安上市。
做交易行为前,还是要先做查证。这些行为大多来自社交工程(Discord、Twitter、Linkedin),币安也说过Linkedin上有大约7000多名用户说自己在币安工作,但其实实际上只有大约50个是真的;Discord上也有很多机器人Bot的诈骗案例。即使有名人背书,也可能是犯罪集团的诈骗,所以不管是元宇宙、虚拟货币等议题,都需要小心。
如果要进阶一点查证,可以透过区块链浏览器、分析网站进行分析,例如etherscan、Chainsight等,都可以进行反查,确认钱包有没有异常的交易行为。或是像趋势科技也有在做相关的浏览器扩充,可以针对交易网站、金流异常做通知。
另外,如果真的有在做币的交易,除了热钱包之外,有些资产还是可以放在冷钱包中。不过很多冷钱包是需要连网的,基本上只要有连网,就还是有风险。另外,病毒也会影响Web3,也是会骇进钱包中的。用户被攻击后,交易的地址可能会被变更、资产可能会莫名消失等。
其实在做交易时,会经过三个层面:第一层透过Web2、第二层经过社群、第三层导去Web3,用户应该试着在第一层Web2、第二层就要开始做预防、意识到诈骗行为。
今年Web3有什么趋势或有什么观察?
加密产业中,资安在这几年慢慢开始成长。去年开始有越来越多针对区块链和Web3的公司,很多资安议题也开始关注,例如数字资产、区块链上讯息和货币的真伪等。现在也越来越多交易所开始做深层、底层链的资安防护,对网路攻击也开始有防护措施。另外,Web3世界中,性别歧视骚扰也是一个问题。
本文链接地址:https://www.wwsww.cn/NFT/18909.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。