知名區塊鏈安全公司 SlowMist 發布了「2024 年第二季 MistTrack 被盜資金分析」報告,深入剖析了 2024 年第二季加密貨幣被盜的趨勢和手法。該報告基於 467 起被盜資金事件,指出了加密貨幣生態系統中的關鍵漏洞,揭露加密貨幣盜竊的三大原因,並詳細解析了網絡犯罪分子所使用的方法。
想掌握最新加密市場動態與 AI 新聞與資訊,與行業專家交流?即加入CFTime Whatsapp 討論區!仲有 CFTime Facebook 同 Thrades!
加密貨幣盜竊三大原因之禍首:私鑰外洩
SlowMist 報告指出,加密貨幣被盜最常見的原因是私鑰和助記詞的不當處理。用戶傾向將這些關鍵安全憑證存儲在容易取得或不安全的平台上,導致重大損失。報告詳細說明了許多用戶將密鑰存儲在 Google Docs、騰訊文檔、百度網盤和石墨文檔等雲端儲存服務上。報告還提到,一些用戶通過微信等即時通訊平台分享這些密鑰,或將其存儲在加密措施不足的本地硬碟上,進一步危及自身安全。
報告明確指出:「駭客經常使用『憑證填充』技術,嘗試用在網上找到的洩露帳號憑證資料庫登入這些雲端服務。」這使用戶面臨重大風險,因為一旦駭客訪問這些儲存點,就能輕易竊取加密貨幣相關信息,進而掏空相關錢包。
除了不當的存儲習慣,分析還強調了假冒錢包的危險性。用戶經常從非官方來源下載這些應用程式,被欺詐性廣告或誤導性搜尋引擎結果所誘惑。SlowMist 的分析包括對第三方應用商店的檢查,發現大量假冒錢包應用在其中分發。這些應用往往是合法軟體的完整複製品,欺騙用戶輸入私鑰,而這些私鑰會直接傳送給攻擊者。
網路釣魚:長青的加密貨幣威脅
網路釣魚仍是一種普遍的加密貨幣盜竊方法,利用社交媒體平台的廣泛觸及和參與度。報告詳細闡述了複雜的釣魚操作,犯罪分子使用看似合法的社交媒體檔案散布釣魚連結。這些檔案通常來自被入侵的帳號,或是購買粉絲建立的專用帳號,以模仿真實的社群影響者或項目帳號。
SlowMist 分析揭示:「在知名項目帳號推文下的前幾條評論中,約 80% 被釣魚詐騙帳號佔據。」這一策略展示了攻擊者如何策略性地利用社交媒體來最大化其惡意活動的觸及範圍和影響。釣魚操作還延伸到 Discord 和 Telegram 等平台,這些平台上加密貨幣社群活躍交流信息,成為詐欺的熱門目標。
蜜罐詐騙:具有欺騙性的誘人投資
第三個重大威脅是蜜罐詐騙。在這種騙局中,詐騙者創建看似有前景且提供高回報的代幣,但這些代幣被設計成無法售出。這種欺詐在 PancakeSwap 等去中心化交易所尤其猖獗,主要涉及 Binance Smart Chain (BSC) 上的代幣。
報告討論了蜜罐詐騙的運作機制,解釋它們如何吸引投資者:「購買代幣後,其價值持續上漲。但當受害者試圖賣出代幣時,發現無法售出。」這種騙局利用了投資者對快速獲利的渴望,將他們鎖定在既無法退出也無法實現收益的位置。
加強安全性的建議
為了降低這些風險,SlowMist 強調了健全安全實踐的重要性。他們建議使用 MistTrack 等工具來評估地址的風險狀態,然後再進行交易。針對代幣合法性的驗證,報告建議使用 Etherscan 或 BscScan 等區塊鏈瀏覽器,這些工具可以通過審計軌跡和用戶評論提供洞察。
此外,為了防範網路釣魚,SlowMist 建議安裝 Scam Sniffer 等瀏覽器擴充功能,這些工具旨在偵測並警告用戶潛在的釣魚網站。報告還強調了教育的關鍵作用,敦促用戶熟悉常見的網絡威脅。
這份報告的發現再次提醒我們,加密貨幣領域仍存在持續的漏洞,並強調了區塊鏈生態系統中所有參與者保持警惕和採取主動安全措施的必要性。