区块链自2009 年挖出第一颗比特币起,至2023 年初为止,去中心化金融DeFi 的市值最高曾达到1990 亿美金(2021年11月)。

这样庞大的金融市场,自然会成为黑客下手的目标,早至2014 年Mt. Gox 交易所被黑而下线,到近期的NFT 被黑,链上钱包被网络钓鱼、诈骗或黑客攻击的事件至今仍层出不穷。

根据DeFiLlama 链上数据分析显示,截至2023 年1 月为止,去中心化金融DeFi 上被黑的总金额高达59.4 亿美金,其中又以2021、2022 近两年最为大宗频繁。

黑客用来攻击的手法多样,从复杂的智能合约攻击或网络钓鱼攻击,到常见的诱导用户同意钱包的授权,因此,也提高了用户使用区块链的难度与风险。

用户端常见的钱包授权诈骗

一般来说,常见的诈骗手法会引导用户同意钱包的授权,在授权的页面上,许多人可能看不懂、或是不会真的仔细察看授权的细节,就在同意授权后,造成以下几种的可能:

1.授权给对方钱包的私钥或助记词,造成黑客可以读取钱包的所有权

通常在私钥或助记词外流的情况下,黑客便拥有了整个钱包的读取权,也就是说,黑客可以自由地将资产转走,即便用户没有进行任何的交易,钱包里的资产都会被转走。在这种情况下,不论怎么取消授权,可说是用户完全丧失保有这个钱包权限的可能性。

在这种情况之下,通常会建议新创一个钱包,并且尽快将资产转移到新的钱包里去。

2.授权时不小心给诈骗集团签署了无限授权

通常在Swap 的交易上,为了避免每次交易的频繁授权,在第一次进行交易的时候,就会请求用户签署平台对某指定代币的无限授权,一般来说,如果是正常的交易平台,还不会有太大的问题;但是如果黑客入侵了交易平台网站,或是用户一开始便签署给诈骗集团无限的授权,在这种情况下,黑客便可以无限地转出用户钱包里被授权的代币。

一般来说,如果碰到这样的情况还想使用原钱包的话,先可以透过取消授权的工具来解除授权再观察看看,常见的解除授权工具有Revoke与Debank。

3.授权时同意转出的资产为钱包中的最大值

有些诈骗网站在页面上跟用户说价格为5U,但是在授权的内容中,却是要用户授权全部的资产,这时候如果用户同意授权的话,就会被对方转走钱包中所有的币。

通常在授权中,可以查看内容里的Permission,看看显示是不是Max Amount,或是查看转出的Amount 是不是网页显示的价格。

这种情况的授权诈骗大多为一次性的授权,并不会无限地转出用户里的代币,但是如果碰到这种状况还想要使用原本的钱包的话,建议也先透过以上的取消授权工具解除授权后再观察看看。

链上防黑的基础建设在哪里

诈骗集团就是利用了用户对于授权文字叙述的不熟悉与复杂性而有机可趁,目前许多的链上钱包都在此做一些努力,例如Solana 链的Phantom 钱包便建置了诈骗及网络钓鱼的地址列表,如果用户进行交易的对象是列表中的地址,便会对用户发出警示。

至于许多用户使用的MetaMask 小狐狸钱包,有些项目正在发展浏览器的扩充功能做为防黑,例如Pocket Universe便可以在Google Chrome、Brave、Edge 和Firefox 安装扩充功能。

一旦安装了扩充功能,在用户要签署授权之前,它会协助检查交易的安全问题,并自动跳出显示这笔授权的安全性:如果是安全的授权就会是绿色;如果是危险的交易就会跳出红色的WARNING 警示,并告诉用户这笔交易进行的后果。

参考资料:Pocket Universe 官网

除了Pocket Universe 之外,还有其他项目也在防黑的基础建设上做努力,例如Revoke、Blowfish Protect 也都发展链上防黑的产品,致力于提供防诈骗的服务。

虽然如此链上防诈的基础建设也持续的发展,但是链上的诈骗手法花样众多、也不时地推陈出新,用户在使用链上钱包进行交易时,自己还是必须要小心,要有更多资安风险意识才是。