「塊轉Web3」是區塊鏈媒體《Web3+》推出的直播節目,集結四位不同專業領域的主持人,每週三中午輪番上陣,用30分鐘的時間,帶來第一手的人物訪談、拆解區塊鏈新商業案例、產業最新脈動分析,陪你一起吃午餐。
直播節目資訊:
時間: 每週三中午12:30~13:00
收看管道:《數位時代》Facebook、《Web3+》官網
NFT、區塊鏈應用詐騙層出不窮,到底該怎麼辨識和防範?「塊轉Web3」直播,邀請到趨勢科技的資安專家劉彥伯,解密區塊鏈中的常見詐騙,帶你由淺入深搞懂區塊鏈的資安!
- 為什麼區塊鏈應用會有資安風險?和一般FinTech資安事件有什麼不同?
- 如何識別區塊鏈詐騙?新手、老手面臨的詐騙風險不一樣?如何預防?
- 區塊鏈資安的趨勢發展
小檔案:劉彥伯
現任趨勢科技全球消費市場開發暨行銷協理。曾任微軟產品經理、技術經理、Techday講師,三星電子創新內容與服務部門經理,KKbox資深策略經理。遠見雜誌專欄作家。
區塊鏈中的詐騙與資安
Q:印象深刻的詐騙案例?
去年底,FTX交易所倒閉事件風風雨雨,包含政治圈、財經界、華爾街都很震驚,原來是一個巨型詐騙,這也是印象深刻的一部分。
去年,烏克蘭政府財政部開放加密貨幣的捐款方式,陸陸續續收到反戰贊助者的金額後,於是政府想透過空投的方式回饋贊助者。但是沒想到駭客的手腳更快,早就已經透過假空投發給捐贈者進行詐騙。導致最後政府也不能發了,因為大家已經分不出是詐騙還是真的空投。
Q:區塊鏈為何有風險?漏洞出現在哪裡?
以Web3來說,有幾個特徵。
- 首先是去中心化,好處在於交易不會被特定機構掌控,在交易和知識內容上更自由,精神上是好的。
- 第二點是代幣化,所有東西都可以對價、可以被交換。現在很多NFT或是交易所的代幣等,或甚至把文件透過區塊鏈代幣化。
- 第三可以自託管錢包和對數據、算法有所有權。
不過,用戶真的有能力掌控這麼多的數據資料嗎?在去中心化的情況下,交易錯誤時怎麼辦?Web3這些特點超出常人控制範圍時,就成了詐騙的一大突破點。
Q:和傳統金融相比,風險上有什麼不一樣?
要去中心化、代幣化、自己託管,就和傳統上很不一樣。台灣金管會去年要求FinTech公司做到部分檢測和演練,包括DDos的應變機制、ATM、APP資安、滲透測試等,但當這些檢測來到區塊鏈領域時,由於Web3以上的特性,導致面對的風險和應對,就和傳統很不一樣。
分散式阻斷服務(DDoS): 網站會因為太多人存取的情況下當機無法提供服務,而駭客就是利用這一點,透過多點式攻擊來癱瘓網站。
就像FTX當初也有法遵、有法規,但其實他法規是合自己的規範,所以其實有很多漏洞。
Web3強調去中心化,但在帳戶安全上,密碼忘記要找誰救回來?如果今天做NFT交易,要怎麼確定交易的窗口的是這個人嗎?誰來做驗證?交易容錯也是一個問題,誰來約定價錢?目前的跨國轉帳Swift機制可以實現國際跨國交易,但區塊鏈世界中,交易錯誤是不可逆的,如果交易錯誤怎麼辦?交易所本身的存款儲備金是否足夠?這些都是可以思考、檢核的點。
Q:區塊鏈詐騙常見的案例、模式?
許多知名藝人,包括陳零九和周杰倫都被騙過。
周杰倫的案例是很常見的一種詐騙型式,主要是透過社群(Discord、Twitter等)傳播帶有假消息的釣魚網址,而釣魚網站也和官方網站幾乎無法分辨。當用戶看到假消息,想要取得免費空投或是贈品時,必須綁定錢包,但詐騙會在權限設定上動手腳,進而奪取錢包的控制權。但因為用戶大多不會仔細檢查,因此就落入詐騙圈套中。
也許很多人會懷疑,有這麼容易被騙嗎?舉例來說,現在網路上有一真一假,兩個幾乎一樣的網站,用戶該如何辨別真假?其實單純透過肉眼看網站畫面很難辨別,但首先要先檢查網址、確認網址的年齡、流量、交易次數等,才能比較清楚辨認。
Uniswap過去一年,出現大量犯罪集團透過電子郵件或社群吸引用戶,以此進行詐騙。如果拿攻擊者的代幣去查,會發現代幣的規格沒什麼問題,而比較有警覺心的老手去查也會覺得沒問題,直到空投的當下才會發現是詐騙。
而新手被騙大多是假幣,更多狀況是根本沒有發行虛擬貨幣,透過名人背書吸引用戶投資。另外,台灣也很常見約會型詐騙,其實和早期的股票、遊戲詐騙很類似。
Q:有沒有一些能辨識詐騙的方法?
要養成一個習慣,首先要有危機意識,不要相信眼前看到的東西。
全球最大交易所幣安的CCO,就被詐騙集團用Deepfake方式假造聲音和影像,和幣安進行視訊通話,試圖讓項目在幣安上市。
做交易行為前,還是要先做查證。這些行為大多來自社交工程(Discord、Twitter、Linkedin),幣安也說過Linkedin上有大約7000多名用戶說自己在幣安工作,但其實實際上只有大約50個是真的;Discord上也有很多機器人Bot的詐騙案例。即使有名人背書,也可能是犯罪集團的詐騙,所以不管是元宇宙、虛擬貨幣等議題,都需要小心。
如果要進階一點查證,可以透過區塊鏈瀏覽器、分析網站進行分析,例如etherscan、Chainsight等,都可以進行反查,確認錢包有沒有異常的交易行為。或是像趨勢科技也有在做相關的瀏覽器擴充,可以針對交易網站、金流異常做通知。
另外,如果真的有在做幣的交易,除了熱錢包之外,有些資產還是可以放在冷錢包中。不過很多冷錢包是需要連網的,基本上只要有連網,就還是有風險。另外,病毒也會影響Web3,也是會駭進錢包中的。用戶被攻擊後,交易的地址可能會被變更、資產可能會莫名消失等。
其實在做交易時,會經過三個層面:第一層透過Web2、第二層經過社群、第三層導去Web3,用戶應該試著在第一層Web2、第二層就要開始做預防、意識到詐騙行為。
Q:今年Web3有什麼趨勢或有什麼觀察?
加密產業中,資安在這幾年慢慢開始成長。去年開始有越來越多針對區塊鏈和Web3的公司,很多資安議題也開始關注,例如數位資產、區塊鏈上訊息和貨幣的真偽等。現在也越來越多交易所開始做深層、底層鏈的資安防護,對網路攻擊也開始有防護措施。另外,Web3世界中,性別歧視騷擾也是一個問題。
核稿編輯:高敬原
