Web3 騙局揭秘 - 常見的資產被盜場景

摘要

● 介紹常見的可能造成用戶資金損失的場景

● 介紹 Bitget 保護用戶資金安全的措施

Web3 世界雖然帶來了金融自由與創新機遇，但同時也伴隨著各種新型安全威脅。本文揭露目前 Web3 環境下用戶資產被盜的常見場景，包括私鑰洩漏、惡意簽章授權以及轉帳詐騙等多種攻擊手段。透過對真實案例的分析和 Bitget 交易所採取的安全措施介紹，為用戶提供全面的防護知識，幫助投資者在區塊鏈世界中、更安全地守護自己的數位資產。

常見的資產被盜場景

助記詞或私鑰被盜

虛假錢包竊取用戶助記詞和私鑰

駭客通常透過在 Telegram、Discord 等社群媒體平台上冒充官方團隊成員或管理員發送虛假錢包下載連結，或透過釣魚郵件模仿知名錢包品牌（如 MetaMask、Trust Wallet）發送「安全更新」提醒，以及在搜尋引擎上投放廣告，將用戶引導至釣魚網站等方式讓用戶下載虛假錢包。當受害用戶下載並安裝這些盜版錢包應用程式，並匯入助記詞或私鑰時，這些資訊會直接傳送至攻擊者控制的伺服器。

惡意 App 竊取剪貼簿的助記詞和私鑰

惡意應用程式通常偽裝成實用工具（如 QR Code 掃描器、檔案管理器）、熱門遊戲的破解版、加密貨幣價格追蹤工具、空投監控工具等。這些應用程式一旦安裝，就會要求取得讀取剪貼簿等權限，然後持續監控用戶裝置的剪貼簿內容。當用戶複製錢包私鑰或助記詞（例如在備份或轉移過程中）時，惡意程式會立即捕獲這些資訊並發送到攻擊者的伺服器。

惡意的簽名或授權

eth_sign 盲簽名

eth_sign 是以太坊提供的一種基礎簽署方法，它允許用戶對任意資料進行簽署。這種方法的危險在於：用戶看到的是一串無法理解的十六進位代碼，無法判斷實際在簽署什麼內容。駭客可以誘導用戶簽署惡意交易授權，甚至可以建構惡意簽名內容授權提取所有資產。

Permit2 簽名釣魚

Permit2 是 Uniswap 實驗室開發的一種代幣授權協議，雖然本身安全，但被駭客利用進行簽名釣魚。駭客誘導用戶簽署 Permit2 授權，通常以「驗證錢包」或「領取空投」為藉口。一旦簽署，駭客能在不需要額外確認的情況下操作用戶代幣。

惡意獲取代幣授權

一些惡意網站誘導用戶對智能合約進行有價值代幣的無限額授權，使其能夠操作用戶持有的該代幣。常見的手法有創造看似合法的 DeFi 項目或 NFT 平台，要求用戶授權才能參與。通常利用「緊急」或「限時」活動，製造 FOMO 情緒，降低用戶警覺性。一旦授權完成，駭客可以隨時提領用戶錢包中的代幣，而無需進一步確認。

NFT 授權

有些惡意網站會騙取用戶進行「setApprovalForAll」授權，用戶如果不小心批准了 setApprovalForAll 授權，那麼攻擊者就可以轉走被授權的 NFT 系列。

轉帳詐騙

受竄改聊天軟體中發送的錢包地址遭到替換

攻擊者發布經過修改的 Telegram 客戶端，通常在非官方管道釋出。修改版 Telegram 含有惡意程式碼，可即時監控並取代聊天中出現的加密錢包地址。當對象聊天用戶複製貼上這些地址進行轉帳時，資金實際發送至攻擊者控制的錢包。2023 年，超過 500 名用戶因使用竄改版 Telegram，導致總計約 800 萬美元的加密資產被錯誤轉帳。

0 金額轉帳釣魚

攻擊者利用了 USDT 的 TransferFrom 函數的特點，當轉帳金額為 0，無需所有者允許，第三方即可發起轉帳交易。 攻擊者利用這個函數的特點，不斷地對鏈上活躍用戶發起 TransferFrom 操作，冒充用戶曾經的歷史記錄，一部分用戶習慣從歷史轉帳記錄複製帳戶地址，就可能將代幣轉帳到攻擊者的地址中。根據 SlowMist 統計，光是 2022 年上半年，就有超過 2,000 萬美元透過 0 轉帳釣魚方式被竊。

Bitget 安全措施

大部分資金儲存在冷錢包

在 Bitget，大多數數位資產都儲存在離線的多重簽名冷錢包中。這項謹慎的措施確保錢包不與網路連接，大大降低了被網路攻擊的風險。

保護基金

Bitget 提供價值高達 7 億美元的用戶保護基金，如果用戶在我們平台的帳戶遭到洩漏、資產被盜或遺失（不是由於自己的行為或交易），那麼用戶可以透過 Bitget 保護基金申請索賠。

官方驗證管道

Bitget 提供官方的驗證管道（https://www.bitget.com/zh-TC/official-verification），用戶可以在輸入框中查詢電子信箱/網站地址/社群媒體帳戶是否為官方管道，防止釣魚和詐騙。

安全教育

Bitget 不定期推出用戶安全教育系列文章，提高用戶的安全意識。

用戶最佳實踐

保護助記詞與私鑰

● 不要將助記詞和私鑰在未加密的情況下上傳到網路硬碟等處。

● 不要完整複製助記詞和私鑰，避免被惡意軟體讀取剪貼簿並竊取。

● 只從官方管道下載錢包應用程式，驗證軟體簽名和發布者。

簽名與授權管理

● 拒絕盲簽名，簽名前確認簽名的內容。

● 為不熟悉的項目設定最少的必要授權額度，避免無限授權。

● 定期使用授權管理工具（如 Revoke.cash 等），檢查並撤銷不必要的授權。

安全轉帳實踐

● 進行重要轉帳前先發送小額測試交易。

● 使用地址簿功能新增常用地址。

結語

保護數位資產不僅需要交易所等機構建立嚴格的安全框架，更需要用戶提高警覺性，並掌握必要的安全知識。正如傳統金融世界有百年累積的安全措施，Web3 領域的安全體系也經歷不斷完善的過程，每一次攻擊事件都為業界提供了寶貴的經驗教訓。Bitget 將持續投入資源加強平台安全建設，同時透過教育​​內容幫助用戶增強安全意識。我們相信，只有交易平台與用戶共同努力，才能建立一個真正安全、可靠的 Web3 生態系，讓區塊鏈技術的創新價值得到充分釋放，同時將風險降至最低。