駭客事件層出不窮,鏈上防駭的基礎建設在哪裡?
(本文經授權轉載自作者 – 冬冬,2005 年起為高中數學老師,龍騰出版社高中數學課本作者。2021年初進入幣圈成為小韭菜,對於區塊鏈的快速發展與更新著迷。目前亦為 None Capital 的研究員,也在方格子經營部落格,進行區塊鏈的資訊整理與分享。)
區塊鏈自 2009 年挖出第一顆比特幣起,至 2023 年初為止,去中心化金融 DeFi 的市值最高曾達到 1990 億美金(2021年11月)。
這樣龐大的金融市場,自然會成為駭客下手的目標,早至 2014 年 Mt. Gox 交易所被駭而下線,到近期的 NFT 被駭,鏈上錢包被網路釣魚、詐騙或駭客攻擊的事件至今仍層出不窮。
廣告 - 內文未完請往下捲動
根據 DeFiLlama 鏈上數據分析顯示,截至 2023 年 1 月為止,去中心化金融 DeFi 上被駭的總金額高達 59.4 億美金,其中又以 2021、2022 近兩年最為大宗頻繁。
駭客用來攻擊的手法多樣,從複雜的智能合約攻擊或網路釣魚攻擊,到常見的誘導用戶同意錢包的授權,因此,也提高了用戶使用區塊鏈的難度與風險。
用戶端常見的錢包授權詐騙
一般來說,常見的詐騙手法會引導用戶同意錢包的授權,在授權的頁面上,許多人可能看不懂、或是不會真的仔細察看授權的細節,就在同意授權後,造成以下幾種的可能:
- 授權給對方錢包的私鑰或助記詞,造成駭客可以讀取錢包的所有權
通常在私鑰或助記詞外流的情況下,駭客便擁有了整個錢包的讀取權,也就是說,駭客可以自由地將資產轉走,即便用戶沒有進行任何的交易,錢包裡的資產都會被轉走。在這種情況下,不論怎麼取消授權,可說是用戶完全喪失保有這個錢包權限的可能性。
在這種情況之下,通常會建議新創一個錢包,並且盡快將資產轉移到新的錢包裡去。
2. 授權時不小心給詐騙集團簽署了無限授權
通常在 Swap 的交易上,為了避免每次交易的頻繁授權,在第一次進行交易的時候,就會請求用戶簽署平台對某指定代幣的無限授權,一般來說,如果是正常的交易平台,還不會有太大的問題;但是如果駭客入侵了交易平台網站,或是用戶一開始便簽署給詐騙集團無限的授權,在這種情況下,駭客便可以無限地轉出用戶錢包裡被授權的代幣。
一般來說,如果碰到這樣的情況還想使用原錢包的話,先可以透過取消授權的工具來解除授權再觀察看看,常見的解除授權工具有 Revoke 與 Debank。
3. 授權時同意轉出的資產為錢包中的最大值
有些詐騙網站在頁面上跟用戶說價格為 5U,但是在授權的內容中,卻是要用戶授權全部的資產,這時候如果用戶同意授權的話,就會被對方轉走錢包中所有的幣。
通常在授權中,可以查看內容裡的 Permission,看看顯示是不是 Max Amount,或是查看轉出的 Amount 是不是網頁顯示的價格。
這種情況的授權詐騙大多為一次性的授權,並不會無限地轉出用戶裡的代幣,但是如果碰到這種狀況還想要使用原本的錢包的話,建議也先透過以上的取消授權工具解除授權後再觀察看看。
參考資料:MetaMask Support
鏈上防駭的基礎建設在哪裡?
詐騙集團就是利用了用戶對於授權文字敘述的不熟悉與複雜性而有機可趁,目前許多的鏈上錢包都在此做一些努力,例如 Solana 鏈的 Phantom 錢包便建置了詐騙及網路釣魚的地址列表,如果用戶進行交易的對象是列表中的地址,便會對用戶發出警示。
參考資料:詐騙空投回收再利用!Phantom錢包推出「NFT銷毀功能」,銷毀後獲得SOL
至於許多用戶使用的 MetaMask 小狐狸錢包,有些項目正在發展瀏覽器的擴充功能做為防駭,例如 Pocket Universe 便可以在 Google Chrome、Brave、Edge 和 Firefox 安裝擴充功能。
一旦安裝了擴充功能,在用戶要簽署授權之前,它會協助檢查交易的安全問題,並自動跳出顯示這筆授權的安全性:如果是安全的授權就會是綠色;如果是危險的交易就會跳出紅色的 WARNING 警示,並告訴用戶這筆交易進行的後果。
參考資料:Pocket Universe 官網
除了 Pocket Universe 之外,還有其他項目也在防駭的基礎建設上做努力,例如 Revoke、Blowfish Protect 或台灣的趨勢科技也都發展鏈上防駭的產品,致力於提供防詐騙的服務。
雖然如此鏈上防詐的基礎建設也持續的發展,但是鏈上的詐騙手法花樣眾多、也不時地推陳出新,用戶在使用鏈上錢包進行交易時,自己還是必須要小心,要有更多資安風險意識才是。
衍伸閱讀:
NFT名人再遭駭、PROOF/Moonbirds創辦人近兩百萬美元NFT沒了
