什麼是 Web3 中的網絡釣魚 (Phishing)?
隨著用戶透過區塊鏈交易進行代幣交易,一種新型的網絡釣魚騙局應運而生。與傳統旨在騙取受害者個人或財務資訊的網絡釣魚騙局不同,這種特定的網絡釣魚方式旨在透過操縱交易來竊取用戶的資產。本質上,騙子會欺騙受害者簽署交易或消息,從而使他們能夠轉走受害者的代幣。 在接下來的章節中,我們將深入探討 Web3 中多種流行的網絡釣魚騙局,並學習保護資產免受此類攻擊的實用策略。
Web3 中常見的網絡釣魚騙局類型
1. 直接代幣轉移 (Direct Token Transfer)
此類騙局透過操縱用戶將資產直接轉移到惡意地址。這些騙局的成功通常依賴於複雜的社會工程學技術。一個常見的變體是欺騙用戶以「安全更新」或「領取獎勵」為幌子簽署交易,最終導致資產被盜。這類騙局通常透過偽造介面騙局 (Fake Interface Scam) 來執行。
2. 代幣授權 / 許可 (Token Approval / Permit)
「授權」(Approval) 和「許可」(Permit) 方法允許其他人(稱為支出者)代表您使用您的代幣。用戶向 DApp 授予代幣授權以促進交易活動是一種常見做法。然而,若向惡意方(例如釣魚地址)授予授權,可能導致經濟損失。如果受害者未能意識到並撤銷該授權,網絡釣魚攻擊可能會持續很長一段時間。
3. 零金額轉帳騙局 (Zero-value Transfer Scam)
零金額轉帳騙局,也稱為「投毒」(Poisoning),發生在釣魚者操縱從受害者地址到與受害者先前互動過的合法地址相似的釣魚地址進行零金額轉帳時。這種欺騙手段旨在誘騙受害者誤將資金轉移到這些釣魚地址,從而導致嚴重的資產損失。
4. Gas 代幣騙局 (Gas Token Scam)
在幣安智能鏈 (BSC) 上,一些釣魚者採用空投騙局,向受害者分發欺詐性代幣,並引誘他們授權或轉移這些代幣。遺憾的是,受害者在與這些詐騙代幣互動時,會不知不覺地支付巨額手續費。這些手續費被用於為騙子的地址鑄造 Gas 代幣,隨後被換成利潤。
5. NFT 市場騙局 (NFT Market Scam)
NFT 是一種獨特的虛擬資產。同一系列 NFT 的價格差異巨大,使得透過去中心化交易所 (DEX) 進行自動化交易變得不切實際。因此,NFT 市場應運而生,為用戶提供了一個更便捷的掛單和購買平台。然而,騙子利用這些市場建立惡意訂單並竊取受害者的 NFT。
6. 偽造介面騙局 (Fake Interface Scam)
用戶透過合約介面呼叫與鏈上合約(例如 DApp)進行互動。為了增強用戶理解,這些介面通常以方法名稱的形式呈現。然而,請務必注意,這些方法名稱並不一定能準確代表該方法的實際實作邏輯。例如,名為「SecurityUpdate」(安全更新)的方法未必涉及安全升級,實際執行時可能涉及轉移調用者的資產。
如何在 Web3 中防範網絡釣魚
-
避免造訪來自不可信來源的可疑網站,並對需要連接錢包的網站格外小心。 許多錢包和區塊鏈瀏覽器擴充功能可以針對釣魚網站發出警示,MetaMask 等工具皆有此類功能。
-
仔細檢查您互動的地址,包括 EOA 和合約地址。 不要僅因為地址的前後幾位元字元看起來很熟悉就認為它是正確的。對於第一次互動的地址,請使用相關工具檢查其風險,例如 AvengerDAO 的風險掃描器和 MetaDock。
-
定期檢查並撤銷代幣授權。 許多工具都可以協助您完成此操作。例如,MetaDock 是一款瀏覽器擴充功能,透過改進區塊鏈瀏覽器的代幣授權管理功能,協助用戶識別危險的高風險授權。
-
使用多個錢包並分散管理您的資產。 僅在熱錢包中存放日常操作所需的必要資產。將絕大多數資產存放在更安全的冷錢包(例如硬體錢包)中。
關於 MetaSleuth
MetaSleuth 是由 BlockSec 開發的一個綜合性平台,旨在協助用戶有效追蹤和調查所有加密貨幣活動。透過 MetaSleuth,用戶可以輕鬆追蹤資金、視覺化資金流向、監控即時資金異動、保存重要資訊,並透過分享調查結果與他人協作。目前,我們支援 13 種不同的區塊鏈,包括比特幣 (BTC)、以太坊 (ETH)、波場 (TRX)、Polygon (MATIC) 等。
Twitter:@MetaSleuth
Telegram:https://t.me/MetaSleuthTeam
