DeFi的崛起
去中心化金融(DeFi)正在全球的市場中崛起,任何事物的崛起過程總是充斥機遇 。然而值得我們仔細思考的是這些去中心化金融服務是否存在許多潛在的危險。
隨著大量優秀的DeFi應用/產品在近年來不斷地被提出,這些應用/產品不受到集中化金融體系的限制,在分散式的區塊鏈上有著更加開放與透明的優點。
雖然這些DeFi應用/產品本質具備去中心化的優點,但是它們仍然需要中心化的入口(例如: 官方網站)來介紹服務和導引用戶投資,因此嗅覺敏銳的黑帽駭客們也從中找到了全新的機會。
針對DeFi的網路釣魚
Why DeFi?
為什麼會盯上DeFi,原因顯而易見。這一切都跟錢有關係,滿懷惡意的黑帽駭客總是緊跟金錢的腳步。
而截至目前(2021/12/09)為止已經有等值2,600億美元的虛擬通貨鎖定在DeFi的資金池中。
網路釣魚,從欺騙你的腦袋開始!
為什麼你會進入這些釣魚網站?
這些黑帽駭客透過購買Google Ads關鍵字廣告,使你在搜尋DeFi產品的時候惡意網址出現在搜尋結果的推薦區域。
準備魚餌
魚餌當然要使用長得和各個官方網站很像的網站頁面,然而這些網站可以透過檢查網址發現他們並非是正確的官方網站。
▎除了URL判斷以外,這些釣魚網站功能有時不太完善,除了連結錢包以外的非重要功能可能無法點擊或使用。
網路釣魚的目標
虛擬通貨錢包最關鍵的就是私鑰(或助記詞),因此這些DeFi釣魚網站的目標就鎖定使用者的私鑰(或助記詞)。
▲支援輸入私鑰(或助記詞)的釣魚網站頁面
▲偽造Metamask錢包的釣魚網站頁面
釣魚網站的攻擊流程
擅長釣魚的黑帽駭客與DeFi產品們
最後我們來看看這些黑帽駭客最感興趣的有哪些產品。從下圖可以發現,攻擊的對象集中在DeFi上幾個聲勢較大的產品上。
圖中的統計數據來自2021/11/15~2021/11/22間 Google 搜尋結果中的釣魚廣告記錄,由於 Google 搜尋會依照不同區域分發搜尋結果且存在觀察時間上的局限性,因此本數據僅供參考並不構成任何產品安全性的評估與建議。
什麼是你應該注意的?
- 在收到資訊(例如: 任何來源的連結、任何需要輸入重要/敏感資訊的表單)後,在執行下一步前先想一想或是問問其他人
- 進入一個新網站的時候總是確認網站的網址
- 永遠不要把你的助記詞和私鑰提供給任何人、網站或軟體
▎隨時保持警覺,遠離釣魚!
除了網路釣魚,還有一些你應該知道的...
DeFi同時也存在一些技術風險(例如: 智能合約漏洞、潛在操作風險)或是缺乏審查、監管、保險等問題。)
有沒有其他選擇?
其實自行參與DeFi是一件風險較高的投資行為,所以你也能直接透過 MaiDeFi 來簡單、快速並安全的參與流動性挖礦、借貸。
