搜尋
Close this search box.

OKX Web3 最新發布:鏈上防釣魚安全交易指南

探索鏈上世界,安全第一,使用者需謹記這 3 條安全規則:
– 不要在任何網頁填寫助記詞 / 私鑰、
– 謹慎點選錢包交易介面 確認按鈕、
– 以及推特 / Discord / 搜尋引擎獲得的連結可能是釣魚連結。

進入新週期,鏈上互動風險隨著使用者活躍度的增加而日益暴露。釣魚者通常會採用假冒錢包網站、竊取社交軟體帳號、建立惡意瀏覽器外掛、傳送釣魚郵件和資訊以及釋出虛假應用程式等方式,誘使使用者洩露敏感資訊,導致資產損失,釣魚形式和場景呈現多樣性、複雜性和隱匿性等特徵。

比如,釣魚者一般透過建立與正規錢包網站外觀相似的假冒網站,誘使使用者輸入其私鑰或助記詞,這些假冒網站通常會使用社交媒體、電子郵件或廣告進行推廣,誤導使用者認為他們正在訪問正規的錢包服務,從而盜取使用者的資產。此外,還有釣魚者可能會利用社交媒體平臺、論壇或即時通訊應用程式,偽裝成錢包客服或社群管理員,向用戶傳送虛假訊息,要求他們提供錢包資訊或私鑰,這種方式利用了使用者對官方的信任,誘使他們洩露私人資訊等等。

總之,這些案例突出了釣魚行為對 Web3 錢包使用者的威脅。為幫助使用者提高 Web3 錢包使用安全意識,並保護資產安全免受損失,OKX Web3 深入社群調研並收集了眾多 Web3 錢包使用者遭遇過的釣魚事件,從而提煉出使用者最常遇到的 4 大典型釣魚場景,並透過不同場景下的細分案例,採用圖文案例結合的方式,撰寫了 Web3 使用者該如何進行安全交易的最新指南,供大家學習參考。

惡意資訊來源

1、熱門專案推特回覆

透過熱門專案推特回覆是惡意資訊的主要方式之一,釣魚推特帳號可以從 Logo、名字、認證標識等都做到和官方號一模一樣,甚至連 Follower 數量也可以是幾十 K,而唯一能區別兩者的就是 —— 推特 handle(注意相似字符),請使用者務必擦亮眼睛。

此外,很多時候,假帳號會在官推訊息下面故意回覆,但回覆內容中帶有釣魚連結,很容易讓使用者以為是官方連結,從而上當受騙。目前,有些官方帳號目前在推文中,會增加 End of Tweet 推文,提醒使用者防範後續回覆中可能包含釣魚連結的風險。

2、盜取官方推特 / Discord

為增加可信性,釣魚者還會盜取專案方或者 KOL 的官方推特 / Discord,以官方名義釋出釣魚連結,所以很多使用者很容易上當。比如,Vitalik 的推特帳號以及 TON 專案官方推特就曾被盜取,釣魚者藉機釋出了虛假資訊或者釣魚連結。

3、Google 搜尋廣告

釣魚者有時會使用 Google 搜尋廣告發布惡意連結,使用者從瀏覽器顯示的名字看為官方域名,但點選後跳轉到的連結為釣魚連結。

4、虛假應用

釣魚者還會透過虛假應用從而誘導使用者。比如當用戶下載安裝了釣魚者釋出的假錢包,會導致其私鑰洩漏和資產丟失。有釣魚者曾修改過的 Telegram 安裝包,從而改變了接收和傳送代幣的鏈上地址,導致了使用者資產的損失。

5、應對措施:OKX Web3 錢包支援釣魚連結檢測及風險提醒

當前,OKX Web3 錢包透過支援釣魚連結檢測及風險提醒,為幫助使用者更好地應對上述問題。比如,使用者透過 OKX Web3 外掛錢包使用瀏覽器訪問網站時,如果該域名為已知惡意域名,則會第一時間收到告警提醒。此外,如果使用者使用 OKX Web3 APP 在 Discover 介面訪問第三方 DAPP 時,OKX Web3 錢包將會自動針對域名進行風險檢測,如果其為惡意域名,則會進行攔截提醒,禁止使用者訪問。

錢包私鑰安全

1、進行專案互動或者資格驗證

釣魚者會在使用者在進行專案互動或者資格驗證時候,偽裝成外掛錢包彈窗的頁面或者其他任何網頁,要求使用者填寫助記詞 / 私鑰,這類一般都是都是惡意網站,使用者應該提高警惕意識。

2、冒充專案方客服或者管理員

釣魚者經常會冒充專案方客服或者 Discord 管理員,並提供網址讓使用者輸入助記詞或者私鑰,這種情況說明對方是釣魚者。

3、其他助記詞 / 私鑰洩漏可能路徑

使用者助記詞和私鑰洩漏可能路徑有很多,常見的包括電腦被植入木馬病毒軟體、電腦使用了擼毛用的指紋瀏覽器、電腦使用了遠端控制或代理工具、助記詞 / 私鑰截圖儲存相簿,但被惡意 APP 上傳、備份到雲端,但云端平臺被入侵、輸入助記詞 / 私鑰過程被監控、身邊人物理獲取到助記詞私鑰檔案 / 紙 、以及開發人員推送包括私鑰程式碼到 Github 等等。

總之,使用者需要安全地儲存和使用助記詞 / 私鑰,從而更好的保證錢包資產安全。比如,當前作為去中心化的自託管錢包,OKX Web3 錢包上線 iCloud/Google Drive 雲端、手動、硬體等多種助記詞 / 私鑰備份方式,已成長為市面上支援私鑰備份方式較為全面的錢包,為使用者提供較為安全的私鑰儲存方式。在使用者私鑰被盜問題上,OKX Web3 錢包已支援 Ledger、 Keystone、Onekey 等較為全面的主流硬體錢包功能,硬體錢包的私鑰儲存在硬體錢包裝置裡,由使用者自己掌握,從而保障資產安全。也就是 OKX Web3 錢包讓使用者透過硬體錢包安全管理資產的同時,又可以自由參與鏈上代幣交易、NFT 市場和各類 dApp 專案互動等。此外,OKX Web3 錢包現已上線 MPC 無私鑰錢包、以及 AA 智慧合約錢包,幫助使用者進一步簡化私鑰問題。

4 大經典釣魚場景

場景 1、竊取主鏈代幣

釣魚者往往會給惡意合約函式起名為 Claim,SeurityUpdate 等具有誘導性名字,而實際函式邏輯為空,從而只轉移使用者主鏈代幣。當前 OKX Web3 錢包已上線交易預執行功能,顯示該交易上鍊後資產及授權變化,從而進一步提醒使用者注意安全。另外,如果其互動合約或授權地址為已知惡意地址,則會進行紅色安全提醒。

場景 2、相似地址轉帳

當監測到有大額轉帳時,釣魚者會透過地址碰撞生成和接收地址首位若干位相同的地址,利用 transferFrom 進行 0 金額轉帳,或利用假 USDT 進行一定金額轉帳,汙染使用者交易歷史,期望使用者後續轉帳從交易歷史複製錯誤地址,完成詐騙。

場景 3、鏈上授權

釣魚者通常會誘導使用者簽署 approve /increaseAllowance/decreaseAllowance/setApprovalForAll 交易,以及升級使用 Create2 生成預先計算好的新地址,繞過安全檢測,從而騙取使用者授權相關。OKX Web3 錢包會針對授權交易進行安全提醒,請使用者注意該交易為授權相關交易,注意風險。另外,如果交易授權地址為已知惡意地址時,會進行紅色資訊提醒,避免使用者上當受騙。

場景 4、鏈下簽名

除了鏈上授權外,釣魚者還會透過誘導使用者進行鏈下簽名的方式進行釣魚。比如,ERC20 代幣授權允許使用者授權給另外一個地址或合約一定額度,被授權地址可以透過 transferFrom 轉移使用者資產,釣魚者就是利用這種特點進行詐騙。當前 OKX Web3 錢包正在針對此類場景開發風險提示功能,當用戶簽署離線簽名時,透過解析簽名授權地址,如果命中已知惡意地址,會對使用者進行風險提示。

其他釣魚場景

場景 5、TRON 帳號許可權

這類場景比較抽象,一般是釣魚者透過獲取使用者 TRON 帳號許可權來控制其資產。TRON 帳號許可權設定和 EOS 類似,分為 Owner 和 Active 許可權,並可以設定類似多籤形式進行許可權控制,如下許可權設定 Owner 門限為 2,兩個地址權重分別為 1 和 2,第一個地址為使用者地址,權重為 1 無法單獨操作帳號。

場景 6、Solana 代幣及帳號許可權

釣魚者透過 SetAuthroity 修改代幣 ATA 帳戶 Ownership,相當於代幣轉給了新的 Owner 地址。使用者被該方法釣魚後,資產轉移給釣魚方等等。此外,如果使用者簽署了 Assign 交易,其正常帳號的 Owner 將從 System Program 被修改為惡意合約。

場景 7、EigenLayer 呼叫 queueWithdrawal

由於協議本身的設計機制等問題,也很容易被釣魚者利用。基於以太坊的中介軟體協議 EigenLayer 的 queueWithdrawal 呼叫,允許指定其他地址作為 withdrawer,使用者被釣魚簽署了該交易。七天後,指定地址透過 completeQueuedWithdrawal 獲得使用者的質押資產。

探索鏈上世界,安全第一

安全使用 Web3 錢包是保護資產的關鍵措施,使用者應切實採取預防措施以防範潛在的風險和威脅。可以選擇行業知名的、經過安全審計的 OKX Web3 錢包、更安全便捷地探索鏈上世界。

作為行業最先進以及功能最全面的錢包,OKX Web3 錢包完全去中心化、且自託管,支援使用者一站式玩轉鏈上應用,現已支援 85+ 公鏈,App、外掛、網頁三端統一,涵蓋錢包、DEX、DeFi、NFT 市場、DApp 探索 5 大板塊、並支援 Ordinals 市場、MPC 和 AA 智慧合約錢包、兌換 Gas、連線硬體錢包等。此外,使用者還可以透過安全地保護私鑰和助記詞、定期更新錢包應用和作業系統、謹慎處理連結和資訊以及啟用多重身份驗證功能,從而增加錢包的安全性。

總之,在鏈上世界,資產安全大於一切。

使用者需要謹記這 3 條 Web3 安全規則:不要在任何網頁填寫助記詞 / 私鑰、謹慎點選錢包交易介面 確認按鈕、以及推特 / Discord / 搜尋引擎獲得的連結可能是釣魚連結。

加密貨幣屬於高風險投資,本網站內容均不構成任何投資建議與責任。

交易所特色操作教學推薦碼連結優惠
Bybit豐富的衍生品交易https://bit.ly/3KuuOn4註冊即享新手儲值禮!
OKX交易種類眾多,功能齊全的前幾大交易所https://bit.ly/3Y0YH4X獨家盲盒獎勵
MAX可以使用台幣出入金
(台灣交易所)
https://bit.ly/3Hwb95K6 個月內 20% 手續費折扣,質押平台幣 MAX 最高可享 60% 折扣
幣安全球最大交易所,幣種與理財產品齊全https://bit.ly/3CqVOzz20% 現貨手續費折扣
派網提供「網格交易」、「期限套利」等機器人操作https://bit.ly/3soLzN720% 手續費折扣
Bitfinex被動收入首選,提供自動放貸功能(年化5-30%)https://bit.ly/3Kebs8u6% 手續費優惠
XREX同時提供台幣與美金出入金服務10% 手續費折扣
Bitget全球最大跟單交易所,讓新手更輕易上手https://bit.ly/48KnkZZ20% 手續費折扣、1000 USDT 新手大禮包

掌握虛擬貨幣、區塊鏈大小事