加密貨幣釣魚攻擊防範指南

什麼是釣魚攻擊？

釣魚攻擊（Phishing）是一種社交工程攻擊，攻擊者透過偽裝成可信任的實體，誘騙受害者提供敏感資訊或執行有害操作。在加密貨幣領域，這通常意味著竊取你的：

• 錢包私鑰或助記詞
• 交易所登入憑證
• 雙重驗證碼
• 簽署惡意智能合約的授權

常見的釣魚攻擊類型

1. 假網站釣魚

這是最常見的攻擊方式。攻擊者創建與正規網站幾乎完全相同的假網站。

攻擊方式：

• 網址仿冒：

  • 真實：uniswap.org
  • 假冒：unlswap.org、uniswap.com、uniswap-app.org

• 搜尋引擎廣告：購買 Google 廣告，讓假網站出現在搜尋結果頂部

• 社群連結：在 Discord、Telegram、Twitter 發布假連結

真實案例：

2023 年，一個假冒 Blur NFT 市場的網站透過 Google 廣告推廣，造成多名用戶損失數百 ETH。用戶點擊廣告後，在假網站上連接錢包並簽署了惡意交易。

2. 假空投釣魚

詐騙者利用人們「免費獲利」的心理，聲稱你獲得了空投。

常見話術：

• 「恭喜！你的錢包獲得了 500 USDT 空投」
• 「限時領取：XX 項目代幣空投」
• 「你的地址已被選中參與早期空投」

攻擊流程：

1. 受害者收到空投通知（郵件、私訊、社群貼文）
2. 點擊連結到達假網站
3. 連接錢包
4. 簽署「領取空投」的交易
5. 實際上簽署了轉移資產的授權
6. 錢包被清空

3. 惡意授權釣魚

這種攻擊利用智能合約的授權機制。

運作原理：

當你與 DeFi 協議互動時，通常需要「批准」（Approve）合約使用你的代幣。惡意合約會要求：

• 無限授權：允許合約轉移你帳戶中該代幣的全部餘額
• 多代幣授權：一次授權多種代幣
• NFT 全部授權：SetApprovalForAll 可轉移你所有的 NFT

攻擊場景：

1. 用戶訪問假的 DEX 網站
2. 嘗試進行代幣兌換
3. 彈出授權請求
4. 用戶未仔細查看就確認
5. 惡意合約獲得轉移代幣的權限
6. 攻擊者在用戶不知情時轉走資產

4. 假客服釣魚

攻擊者假冒交易所或項目官方客服。

常見場景：

1. 你在 Twitter 或 Discord 發問遇到的問題
2. 「官方客服」主動私訊你
3. 聲稱可以幫助解決問題
4. 要求提供帳號資訊或遠端協助
5. 竊取你的憑證或資產

假客服的特徵：

• 主動私訊（真正的客服不會主動私訊）
• 要求提供密碼或助記詞
• 要求遠端控制你的電腦
• 使用與官方相似但不同的帳號名稱
• 施加時間壓力

5. 假 App 釣魚

惡意 App 偽裝成正規錢包或交易所應用程式。

傳播方式：

• 第三方應用商店
• 社群分享的 APK 檔案
• 廣告推廣
• 假冒官方網站的下載連結

危害：

• 竊取你輸入的助記詞
• 監控複製貼上的內容
• 替換你複製的錢包地址
• 攔截雙重驗證碼

6. 社交工程釣魚

利用人際關係和信任進行的攻擊。

類型：

Discord/Telegram 群組詐騙：

• 假管理員發布「緊急公告」
• 假活動或贈送通知
• 假的「驗證機器人」要求連接錢包

社群媒體詐騙：

• 假名人帳號發布「贈幣活動」
• 駭入真實 KOL 帳號發布詐騙連結
• 假評論引導到釣魚網站

私訊詐騙：

• 假朋友帳號借錢或推薦投資
• 假戀人/網友引導到詐騙平台
• 假招聘要求安裝惡意軟體

7. 郵件釣魚

透過電子郵件進行的攻擊。

常見內容：

• 「您的帳戶存在安全風險」
• 「請驗證您的身份以避免帳戶凍結」
• 「您有一筆待領取的款項」
• 「密碼重置請求」

識別特徵：

• 發件人地址與官方不同（例如：support@binance-security.com 而非 @binance.com）
• 緊急性語言製造恐慌
• 要求點擊連結或下載附件
• 語法錯誤或拼寫錯誤
• 通用稱呼（「親愛的用戶」而非你的名字）

如何識別釣魚攻擊

紅旗警訊

URL 檢查清單

在點擊任何連結前：

✓ 檢查域名

• 正確的頂級域名（.com、.org、.io）
• 沒有拼寫錯誤
• 沒有多餘的字元或連字號

✓ 檢查 HTTPS

• 確保有 https://（但這不保證網站安全）
• 檢查 SSL 憑證資訊

✓ 對照官方

• 與已知的官方網址對比
• 查看官方社群媒體確認網址

交易簽署檢查

在簽署任何交易前：

1. 確認網站

• 這是你要互動的網站嗎？
• URL 正確嗎？

2. 理解交易內容

• 這筆交易會做什麼？
• 你授權了什麼？
• 金額和收款地址是否正確？

3. 檢查授權範圍

• 是否是無限授權？
• 是否授權了不該授權的代幣？

防範措施

基本防護

1. 使用書籤 將所有常用的 DeFi 網站、交易所加入書籤，直接從書籤訪問。

2. 啟用 2FA 在所有支援的平台上啟用雙重驗證，優先使用硬體 Key 或 Authenticator App。

3. 使用硬體錢包 大額資產存放在硬體錢包，每筆交易都需要物理確認。

4. 分離錢包

• 熱錢包：日常小額使用
• 冷錢包：長期持有
• 互動錢包：DeFi、NFT 鑄造（只放少量資金）

5. 定期檢查授權 每月使用 Revoke.cash 檢查並撤銷不必要的授權。

進階防護

1. 使用安全擴充功能

• Wallet Guard
• Pocket Universe
• Scam Sniffer

2. DNS 防護 使用安全的 DNS 服務（如 Cloudflare 1.1.1.1）可以阻擋已知的惡意網站。

3. 獨立裝置 考慮使用專用裝置進行加密貨幣操作。

4. 教育自己 持續關注新的詐騙手法，加入安全社群。

建立良好習慣

遭遇釣魚攻擊後的應對

如果你懷疑被釣魚

立即行動：

1. 停止操作

   • 不要完成任何正在進行的交易
   • 關閉可疑網站

2. 檢查授權

   • 前往 Revoke.cash
   • 檢查是否有新增的可疑授權
   • 立即撤銷

3. 轉移資產

   • 如果你輸入了助記詞，立即創建新錢包
   • 將所有資產轉移到新錢包
   • 不要再使用可能被洩露的錢包

4. 更改憑證

   • 如果是交易所帳號，立即更改密碼
   • 檢查並重新設定 2FA
   • 檢查 API 金鑰是否被新增

如果你已經損失資產

1. 記錄一切

   • 截圖交易記錄
   • 保存對話紀錄
   • 記下釣魚網站的 URL

2. 通報

   • 向交易所通報（如果涉及）
   • 在詐騙資料庫通報：
     • Chainabuse
     • CryptoScamDB
   • 向當地執法機關報案

3. 警告他人

   • 在社群分享經歷（隱藏個人敏感資訊）
   • 幫助他人避免同樣的陷阱

真實案例分析

案例 1：假 Uniswap 空投

情境： 用戶在錢包中發現不明代幣，顯示價值數千美元。好奇之下，用戶嘗試在 DEX 出售這些代幣，但交易失敗。網上搜尋後找到一個「官方網站」聲稱可以領取這些代幣的價值。

結果： 用戶在該網站簽署了交易，結果錢包中所有 ETH 和代幣被轉走。

教訓：

• 不明代幣可能是「毒代幣」陷阱
• 不要與不明代幣互動
• 不要相信聲稱可以「領取」或「出售」不明代幣的網站

案例 2：Discord 假管理員

情境： 用戶在 NFT 項目的 Discord 中詢問鑄造問題。收到一個看起來像管理員的人私訊，聲稱可以幫忙解決。該「管理員」發送了一個「解決工具」的連結。

結果： 用戶連接錢包並簽署交易後，錢包中的多個高價值 NFT 被轉走。

教訓：

• 真正的管理員不會主動私訊
• 不要點擊私訊中的連結
• 在公開頻道尋求官方幫助

案例 3：搜尋引擎廣告

情境： 用戶想使用 Curve Finance，在 Google 搜尋「Curve」。點擊了搜尋結果頂部的廣告連結，網站看起來完全正常。

結果： 用戶在假網站上批准了交易，損失了超過 50 萬美元的穩定幣。

教訓：

• 永遠不要點擊搜尋引擎廣告
• 使用書籤訪問常用網站
• 手動輸入 URL 並仔細檢查

總結

釣魚攻擊是加密貨幣用戶面臨的最大威脅之一，但大多數攻擊都可以透過保持警覺和良好習慣來預防。

記住：在加密貨幣世界，你是自己資產的唯一守護者。沒有銀行會幫你追回被盜的資金，沒有客服會幫你重設密碼。保持警覺，保護好你的資產。

---

選擇可靠的交易所

以下是經過驗證的可靠交易所：

---

相關閱讀：

• 常見加密貨幣詐騙手法
• 硬體錢包完全指南
• 錢包入門指南