Web3 領域的詐騙手法不斷演進,最常見且具威脅性的就是「釣魚」和「授權陷阱」。由於 Web3 互動涉及區塊鏈上的資產直接控制權,一旦受騙,資產往往難以追回。
釣魚攻擊 (Phishing)
釣魚攻擊的目的是竊取您的私鑰、助記詞或登入憑證,讓詐騙者可以直接存取並盜走您的錢包或交易所資產。
常見場景
假冒網站/應用程式: 創建與官方網站(如知名交易所、NFT 鑄造平台、DeFi 協議)極其相似的假網頁或 App,誘導您輸入私鑰、助記詞或帳號密碼。
例如:網址拼寫錯誤(
coiinbase.comvs.coinbase.com)。
假空投/贈禮連結: 在社群媒體、Discord 或 Telegram 中發布假消息,聲稱發放免費代幣或 NFT,點擊連結後要求您輸入助記詞以「連接」或「領取」。
社交工程: 詐騙者假扮成官方客服、技術支持或知名人士,透過私訊發送惡意連結,或引導您執行特定操作來「解決問題」。
預防方法
核對網址: 永遠仔細檢查網站的 URL,最好將常用官方網站加入書籤。
切勿分享助記詞/私鑰: 任何正規的 Web3 應用程式或官方人員,絕不會要求您提供助記詞或私鑰。
使用官方渠道: 僅從官方網站、App Store 或 Google Play 等正規渠道下載錢包和應用程式。
開啟 2FA: 為您的交易所帳號和郵箱啟用雙重身份驗證 (2FA)。
授權陷阱 (Malicious Approvals)
這是 Web3 獨有的詐騙,它不會竊取您的私鑰,而是騙取您授予惡意智能合約控制您特定代幣(如 USDT, USDC, 或 NFT)的權限。一旦授權,詐騙者就能在您不知情的情況下隨時將資產轉走。
常見場景
假空投/NFT 鑄造頁面: 頁面顯示「免費鑄造」或「領取空投」,當您點擊時,錢包彈出視窗要求您進行
Approve或SetApprovalForAll操作。這並非真正的交易,而是授權給一個惡意合約。
假 DeFi/DEX 平台: 在進行「兌換」或「質押」等操作時,雖然您以為是在執行交易,但錢包彈出的卻是無限額的
Approve授權,將代幣的控制權給予了詐騙合約。前端劫持: 駭客入侵知名項目的網站前端,悄悄將正常的合約替換成惡意授權合約,用戶以為與正常項目互動,實際上卻是授權給了駭客。
預防方法
理解授權(Approve): 在 DeFi 協議中,
Approve操作是必要的,它允許協議(智能合約)代表您進行代幣轉帳。但請務必確認您互動的合約地址是正確且可信的。謹慎查看錢包彈窗:
如果只是一個簡單的「領取」或「查看」操作,卻要求您進行
Approve或 簽名內容複雜、難以辨識的簽名,應立即停止。檢查授權金額:避免授予無限額 (
unlimited) 的代幣轉移權限。
定期檢查並撤銷授權: 使用區塊鏈安全工具(例如 Etherscan、Revoke.cash 等網站)檢查您的錢包已授予哪些合約權限,並及時撤銷高風險或不再需要的授權。
隔離資產: 使用不同的錢包進行日常交易和長期儲存。絕不將大額資產的錢包連接到任何新的或可疑的 DApp。
總結預防策略
保持懷疑:面對任何「保證高回報」、「免費」或「限時」的機會,請保持高度警惕。
獨立查證:對於任何連結或 App,不要輕信私訊或社群群組的發佈,應透過官方 Twitter、官方公告或官方網站獨立確認。
理解風險:在執行任何區塊鏈操作(特別是
Approve和簽名)之前,請務必理解其目的和潛在風險。
如果您的加密資產不幸被盜,請保留所有相關紀錄(對話截圖、金流交易 ID、可疑網址、錢包地址),並立即向當地警方報案或諮詢專業律師。