釣魚攻擊防範:就算只是錢包轉帳也可能被騙!
· 2024-05-13

釣魚攻擊防範:就算只是錢包轉帳也可能被騙!

鏈上分析機構 Lookonchain 將近期一位大戶受騙的案例作為警惕,用戶防範釣魚攻擊不只要確保網址正確,錢包交易的地址也應該再三確認,避免地址前端尾端相同但中間不吻合的假地址詐騙。

內容目錄

大戶遭釣魚攻擊 7000 萬美元

一位鯨魚大戶於五月 3 號因為釣魚攻擊,損失了約 1,155 枚 WBTC,換算價值約為七千萬美元的資產。不過幸運的是駭客於一週後將資產全數歸還。

該大戶於五月 2 號花費 2960 萬美元的 DAI 購買 502 枚的 WBTC,並打算開一個新錢包存放這些資產,這位大戶也是謹慎,將存放 0.05 ETH 作為測試。

廣告 - 內文未完請往下捲動

攻擊者發現該大戶的行動,提前產生大量假地址並監控後者的鏈上活動。當檢測到大戶開始要轉移資金時,攻擊者立即使用具有相同起始和結束字母的釣魚地址將 0 美元 ETH 轉移給鯨魚,目的是讓大戶的交易紀錄中充滿這些假地址。

因為許多應用服務會隱藏地址的中間部分,例如顯示「0x31d7….8ae1」等形式,因此釣魚地址在此情況就會跟正確的地址看起來相同。最終成功騙到此大戶複製此地址,並將 WBTC 轉帳至給攻擊者。

不過幸運的是,該攻擊者因為身份潛在被曝光的風險,最終有將資源全數歸還,不過或許其他人不會那麼幸運,該如何防範此類釣魚攻擊?

如何防範釣魚地址攻擊?

首個較為簡單執行的方法,就是確實檢查地址,除了最前端與最尾端之外,也適當檢查中間的字元,或者多看幾位數,不要只看前後四位數。此動作雖造成多一些麻煩卻可以大大減少風險。

設置錢包白名單,不論是這置常用的轉帳地址,或者安裝防釣魚外掛,除去錯誤地址與可疑小額地址的偵測功能,都可以減少與釣魚地址的互動機會。

(一按錢全不見!「離線授權簽名」有何釣魚手法與防範方式?假 EigenLayer 案例)

最後則是使用習慣,複製錢包地址應該從源頭 (例如錢包頁面) 複製而非第三方介面,或者是每次在大額轉賬之前應該先進行小額轉帳測試與落實分批轉帳等,都是保護資產的有效方式。

更多自保方式可以參考 SlowMist 創辦人余弦與社群共同編撰的《區塊鏈黑森林自救手冊》。

在產業快速發展的階段上,此類詐騙與釣魚地址的發生機率會越來越高,做好自身資產防護與補充相關知識,已經是參與生態時不可忽略的一環。

(四月釣魚攻擊報告:34K 名受害者、3800 萬美元丟失,Base 駭客增加 145%)

熱門文章
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
英國確認各垂直行業的賭博稅稅率
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
首頁
遊戲
合作
發現
我的