加密貨幣(Cryptocurrency)和NFT是科技界的熱門話題。各式各樣的加密貨幣及不同系列的NFT的交易額更屢創新高,令投資者對這個快速增長的市場產生興趣,希望能在五花八門的產品中分一杯羹。但是,近期數碼資產及加密貨幣相關的金融犯罪愈發猖獗,單單是2022年上半年的騙案,已經比2021全年的還要多。近日東張西望亦報道了香港USDT騙案。Preface準備了數位科技的安全隱憂的懶人包,一文介紹最近四大數位科技的安全漏洞、憂慮和預防措施!
黑客利用NFT遊戲所運行的區塊鏈的漏洞,偷取玩家的加密貨幣。如果有人從你的口袋裡偷走了數億美元,你會注意到嗎?廣受歡迎的NFT遊戲 Axie Infinity顯然沒有。2022年3月,黑客在Axie Infinity 運行的區塊鏈 Ronin 上發現了一個弱點,這個基於以太坊的側鏈被來自北韓的黑客組織攻擊,從中獲益6.15億美元,不少用戶都因為黑客的攻擊變得血本無歸。一直到玩家發現他們無法再提取資金的時候,Axie Infinity 才後知後覺地發現他們已經被黑客持續地攻擊了一個星期。此後,Axie Infinity 籌集了 1.25 億美元,以補償其用戶被盜資金。但是,這與他們損失的 6.25 億美元相差甚遠。至於這筆錢,他們可能永遠也拿不回來了。
同時,也有騙徒通過釣魚式的電子郵件和鏈接,偽造智能合約的授權,轉移用戶的NFT。2022年2月,黑客從Opensea的用戶的手中偷取了數以百計個NFT,共價值170萬美元。根據統計,黑客總共在17個用戶中偷取了254個NFT,其中更包括「無聊猿」等知名系列。黑客利用了NFT 智能合約的開源標準的漏洞:首先,通過釣魚式攻擊,目標籤署並授權了一份空白合同。 簽名到位後,攻擊者通過調用他們自己的合約來完成交易,該合約無需付款即可轉移 NFT 的所有權。 從本質上講,攻擊目標就如同簽署了一張空白支票一般,一旦簽署,黑客就會填寫支票的其餘部分來拿走他們的財產。近日無綫電視節目《東張西望》亦報道了有關加密貨幣的騙案,受害人被一個釣魚網站騙取約10萬元USDT,相等於約港幣77萬。
近年來,越來越多的人指出,因為NFT的藝術主觀性和加密貨幣去中心化的特性,NFT交易被當成了洗黑錢的手段。近日,美國財政部發表了一份研究報告,分析了NFT被作為洗黑錢和恐怖份子集資的道具的風險:通過第三方,犯罪分子可以用非法資金購買 NFT 或與自己進行交易以在區塊鏈上創建銷售記錄,然後再次出售;也可以在沒有中間人參與的情況下對受 NFT 保護的數位藝術進行直接的點對點交易,這些交易可能不會記錄在公共分類賬上。通過這些交易,乾淨的現金流便會產生供人使用。
詐騙集團亦會通過推出虛假的NFT項目,進行抽地毯(Rug Pull)騙案。許多加密貨幣和NFT在推出時都會承諾巨大的收益,往往最後這些都會淪為騙局,Day of DefeatToken 正正就是其中之一。Day of Defeat 的項目開發者稱項目可以為持有者提供1000萬倍的回報,甚至有計畫進一步將價格再提高100萬倍。受到豐厚的回報引誘,不少投資者都購買了Day of Defeat代幣。Day of Defeat 的創始人在獲得利潤之後便「抽地毯」提現了135萬美元,導致代幣價值下跌超過96%,讓投資人的投入石沉大海。
非法之徒可能會在Discord上假扮官方的客戶服務頻道,以檢查及紀錄之名收集用戶詳細的個人資訊、密碼助記詞、甚至是加密貨幣錢包憑證。因此,在求助前,用戶應該確保他們在向有官方驗證標記的渠道求助。在求助時,用戶不應該透露密碼等關鍵信息。
開通雙重驗證之後,平台會需要多方信息來授予帳戶的訪問權限。絕大多數加密平台的雙重驗證都會要求用戶下載第三方移動應用程序,該應用程序鏈接到新帳戶並生成隨機的六位數密碼。 這為任何服務增加了重要的第二層安全性,為帳戶提供多重保險,使其更難被入侵。
網絡釣魚詐騙變得越來越難以檢測,但是萬變不離其宗:釣魚式詐騙需要用戶主動點擊帶有病毒的鏈接,從而竊取設備上的信息;許多騙子會發送釣魚電子郵件,將用戶定向到冒名頂替的網站,並詐取個人資料。當面對這些鏈接時,可以記住三個關鍵原則:
檢查電子郵件的地址
不要打開未知發送者的鏈接
不要在網站分享個人信息
在不同的平台上反覆使用相同的密碼令你的個人資料更容易洩露。為所有帳戶使用不同的密碼不僅僅可以減少數據洩漏的風險,還可以最小化洩漏造成的安全影響。如果無法同時記住多個不同的密碼,以下有幾款管理密碼的應用程序:
如果擁有的加密貨幣不需要頻繁交易,打算長期持有那麼可以將它們從虛擬錢包中提取出來,長期保存在「冷錢包」中:這些冷錢包是與互聯網斷開連接的計算機或者被稱為硬件錢包的USB驅動器。