黑客事件層出不窮 鏈上防駭的基礎建設在哪裏

區塊鏈自2009年挖出第一顆比特幣起，至2023年初為止，去中心化金融DeFi的市值最高曾達到1990億美金（2021年11月）。

這樣龐大的金融市場，自然會成為黑客下手的目標，早至2014年Mt. Gox交易所被駭而下线，到近期的NFT被駭，鏈上錢包被網絡釣魚、詐騙或黑客攻擊的事件至今仍層出不窮。

根據DeFiLlama鏈上數據分析顯示，截至2023年1月為止，去中心化金融DeFi上被駭的總金額高達59.4億美金，其中又以2021、2022近兩年最為大宗頻繁。

駭客用來攻擊的手法多樣，從復雜的智能合約攻擊或網絡釣魚攻擊，到常見的誘導用戶同意錢包的授權，因此，也提高了用戶使用區塊鏈的難度與風險。

客戶端常見的錢包授權詐騙

一般來說，常見的詐騙手法會引導用戶同意錢包的授權，在授權的頁面上，許多人可能看不懂、或是不會真的仔細察看授權的細節，就在同意授權後，造成以下幾種的可能：

1. 授權給對方錢包的私鑰或助記詞，造成黑客可以讀取錢包的所有權

通常在私鑰或助記詞外流的情況下，黑客便擁有了整個錢包的讀取權，也就是說，黑客可以自由地將資產轉走，即便用戶沒有進行任何的交易，錢包裏的資產都會被轉走。 在這種情況下，不論怎么取消授權，可說是用戶完全喪失保有這個錢包權限的可能性。

在這種情況之下，通常會建議新創一個錢包，並且盡快將資產轉移到新的錢包裏去。

2. 授權時不小心給詐騙集團籤署了無限授權

通常在 Swap 的交易上，為了避免每次交易的頻繁授權，在第一次進行交易的時候，就會請求用戶籤署平臺對某指定代幣的無限授權，一般來說，如果是正常的交易平臺，還不會有太大的問題; 但是如果黑客入侵了交易平臺網站，或是用戶一开始便籤署給詐騙集團無限的授權，在這種情況下，黑客便可以無限地轉出用戶錢包裏被授權的代幣。

一般來說，如果碰到這樣的情況還想使用原錢包的話，先可以通過取消授權的工具來解除授權再觀察看看，常見的解除授權工具有 Revoke 與 Debank。

3. 授權時同意轉出的資產為錢包中的最大值

有些詐騙網站在頁面上跟用戶說價格為 5U，但是在授權的內容中，卻是要用戶授權全部的資產，這時候如果用戶同意授權的話，就會被對方轉走錢包中所有的幣。

通常在授權中，可以查看內容裏的 Permission，看看顯示是不是 Max Amount，或是查看轉出的 Amount 是不是網頁顯示的價格。

這種情況的授權詐騙大多為一次性的授權，並不會無限地轉出用戶裏的代幣，但是如果碰到這種狀況還想要使用原本的錢包的話，建議也先透過以上的取消授權工具解除授權後再觀察看看。

鏈上防駭的基礎建設在哪裏？

詐騙集團就是利用了用戶對於授權文字敘述的不熟悉與復雜性而有機可趁，目前許多的鏈上錢包都在此做一些努力，例如Solana鏈的Phantom錢包便建置了詐騙及網絡釣魚的地址列表，如果用戶進行交易的對象是列表中的地址，便會對用戶發出警示。

引用數據 ：詐騙空投回收再利用！ Phantom錢包推出「NFT銷毀功能」，銷毀後獲得SOL

至於許多用戶使用的MetaMask小狐狸錢包，有些項目正在發展瀏覽器的擴充功能做為防駭，例如 Pocket Universe 便可以在 Google Chrome、Brave、Edge 和 Firefox 安裝擴充功能。

一旦安裝了擴充功能，在用戶要籤署授權之前，它會協助檢查交易的安全問題，並自動跳出顯示這筆授權的安全性：如果是安全的授權就會是綠色; 如果是危險的交易就會跳出紅色的 WARNING 警示，並告訴用戶這筆交易進行的後果。

除了 Pocket Universe 之外，還有其他項目也在防駭的基礎建設上做努力，例如 Revoke、Blowfish Protect 或臺灣的趨勢科技也都發展鏈上防駭的產品，致力於提供防詐騙的服務。

雖然如此鏈上防詐的基礎建設也持續的發展，但是鏈上的詐騙手法花樣衆多、也不時地推陳出新，用戶在使用鏈上錢包進行交易時，自己還是必須要小心，要有更多資安風險意識才是。

感謝閱讀，喜歡的朋友可以點個贊關注哦，我們下期再見！在加密行業你想抓住下一波牛市機會你得有一個優質圈子，大家就能抱團取暖，保持洞察力

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。