新加坡當局警告釣魚威脅漸增:用戶需仔細確認簽署智能合約內容
新加坡警察局 (SPF) 及新加坡網路安全局 (CSA) 聯合發布了一份公眾諮詢,提醒加密貨幣交易者要警惕數位錢包被盜的風險,稱隨著使用釣魚工具的惡意行為的持續升溫,用戶仍須採取相關措施多加防範。
新加坡當局警告釣魚威脅升溫
據新加坡當局於 31 日釋出的一份聯合公告顯示,網路犯罪者利用釣魚工具,針對加密錢包盜取加密貨幣的事件正在增加,
該公告中提到了釣魚工具的運作方式及其商業模式,稱此種販賣釣魚工具的服務 (DaaS) 在犯罪者中人氣激增,並經常透過電子郵件或社群媒體的知名 KOL 進行虛假宣傳。
廣告 - 內文未完請往下捲動
(錢包寄驗證連結不能點?ZachXBT:多個加密團隊官方電郵遭駭,已盜逾 60 萬美元)
據悉,釣魚工具開發團隊提供了多種服務,犯罪者一方面能夠向其購買代幣盜取程式碼及模組,並自行散佈含有上述程式的釣魚網站連結,藉此竊取用戶資產。
另一方面,犯罪者也能全面交由該團隊處理,從製作仿冒網站、行銷推廣到發布釣魚連結一手包辦,並將依最終竊取金額收取一定比例的分潤。
新加坡當局對此表示:
儘管新加坡沒有報告過具體案例,但大眾應該對全球都正在發生的此種網路攻擊保持警惕
當局的安全建議
另外,公告也強烈建議加密投資者採取下列安全措施,來防範網路釣魚:
- 使用冷錢包
- 妥善保護註記詞
- 警惕高報酬的投資策略及空投連結
- 交互前檢查智能合約的安全性
- 簽署智能合約前反覆確認內容
- 定期檢查並撤銷錢包中不常用的合約批准
- 以較少資金或新錢包,與不熟悉的合約進行互動
換句話說,該公眾諮詢代表著已經有政府當局注意到釣魚事件的明顯增長,對於近日焦點著重於加密監管層面的新加坡來說,有關投資者保護的加密釣魚與盜竊等相關法規及防範措施,也可能會在近期被廣泛討論甚至研擬。
釣魚服務及工具日新月異
此外,資安團隊 Scam Sniffer 幾天前也曾發推指出,過去一週已有 4 名受害者被盜超過 1 千萬美元,均是透過調用 Create 2 函數進行的新型態釣魚攻擊,涉及包括 LP 代幣、抵押代幣或 NFT 等多種代幣類型。
over $10 million was stolen across 4 victims in just 5 days.
what we can learn from that? A few key insights:
– create2 is standard
– collateral token
– erc20 permit pic.twitter.com/kgdkIjkjXx— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) January 26, 2024
據悉,Create 2 函數寫於智能合約內,能用來搭配其他函數做到修改合約內容的功能,犯罪者則是透過為每個惡意簽名產生新地址,來繞過某些錢包中的安全警告。
2023 年間,包括 Pink、Pussy、Venom 及已熄燈的 Monkey 及 Inferno Drainer 的釣魚產品大量出現,造成釣魚案件的數量及損失規模,在當時達到前所未有的高峰,初估當年內共盜取超過 1.62 億美元。
(賺飽 8 千萬鎂!釣魚工具 Inferno Drainer 宣佈關閉:沒有什麼是永恆的)
如今,新的釣魚工具 Wallet Drainer 再度曝光,在過去 9 個月中已從超過 6 萬名受害者中竊取了近 5,900 萬美元,詐騙廣告甚至還遍佈 Google 及推特 (現為 X)。