傳送加密貨幣靠Copy & Paste 隨時血本無歸!
The following published article (Chinese version only)
近日幣市波動,筆者的友人欲將存於冷錢包的加密貨幣傳送到交易所,作進一步部署,卻差點血本無歸。
友人先打開交易所的增值頁面,選好要增值的加密貨幣,並「複製」增值錢包地址,打算在冷錢包軟件 Ledger Live 上直接「貼上」,以為此舉可避免人為輸入錯誤,卻發現「貼上」的是另一個不知名錢包地址!
追查之下,原來友人安裝了一個谷歌瀏覽器插件 GetPaidStock,此程式會在你複製加密貨幣錢包地址時,無聲無色地修改你剪貼薄中的錢包地址,稍一不留神,你便會親手輸入密碼,將加密資產送給騙徒!
真實場景虛假網站
由於加密貨幣近年水漲船高,騙徒針對加密資產而設計的釣魚方式,亦愈來愈高明,不單止加密貨幣,就連 NFT (非同質化代幣),亦成為騙徒的目標。
就在本年初,多名 OpenSea 用戶受到網路釣魚攻擊,涉及 254 個 NFT 被盜,當中包括價值不斐的熱門收藏系列 Bored Ape Yacht Club,騙徒是經過精心部署的,看準官方正進行智能合約升級,便以此為由發出釣魚電郵,邀請現有用戶登入網站,把 NFT 連到新合約上,如此真實的用戶場景,使很多用戶放下戒心,按進釣魚網站連結並簽署授權,親手授權黑客從錢包轉走 NFT。
另一種流行的 NFT 釣魚手法,就是虛假鑄造網站。最近著名梗圖創作網站 9Gag 宣佈,將會推出 NFT,首個系列名為 memeland,其官方網站是 https://www.memeland.com/,尚未公怖鑄造日期。
然而當我在 Google search memeland NFT 時,居然在廣告欄位看到另一個網站 https://www.memelandnft.club/,無論網址或其網站內容,均與官方網站有九成相似,只是釣魚網站已經率先可以鑄造 NFT。真的,假如你真的在釣魚網站支付 ETH 鑄造,仍能獲得由騙徒的智能合約鑄造出來的山寨 NFT,不少人看到錢包多了 NFT,還滿心歡喜以為自己買到心頭好!
十多年前,電腦被駭損失的是珍貴的遊戲道具,而今天損失的,可能是整個加密資產錢包,隨時比銀行帳戶的資產更多!
筆者建議各位,可使用多個獨立冷錢包來處理不同種類的加密資產交易,以分散風險;鑄造或授權網站連接加密錢包,必須從多渠道查核網站連結真偽,另外做任何鏈上交易時,必須每個步驟均檢查接收錢包地址是否正確,如使用冷錢包,必須在硬件錢包核對資料正確方可按確認鍵,切勿貪一時之快,要知道加密貨幣一經傳送,即不可追回!