加密牛市賺錢也要懂守財！專家教你4大防駭神招，避免駭客偷幣

駐站編輯Ariel

觀點 2025.01.28

加密貨幣用戶與項目必須保持警惕，小心那些不值得信賴的交易所、不安全的去中心化金融（DeFi）項目，以及不斷演變的釣魚詐騙手法。

AI 文章總結

＋閱讀

幣圈賺錢也要懂守財！2024加密犯罪額超400億鎂

加密貨幣市場交易提供賺錢機會，但與此同時，無數的駭客與騙子也正利用人們的貪婪設下陷阱。

幣圈外媒《Cointelegraph》就提醒，加密貨幣用戶與項目必須保持警惕，小心那些不值得信賴的交易所、不安全的去中心化金融（DeFi）項目，以及不斷演變的釣魚詐騙手法。

區塊鏈資安公司派盾（PeckShield）統計，光是 2024 年 1 月共有 30 起駭客攻擊，盜取了價值超過 1.825 億美元的資金，相較於 2023 年同期大幅增長 771%，也比 2023 年 12 月增長了 84%。

數據還顯示，今年 2 月的區塊鏈被駭金額已超過 3.6 億美元，是 1 月的兩倍以上，遭駭的苦主包含 PlayDapp、FixedFloat 以及《Axie Infinity》共同創辦人 Jeff Zirlin，其中光是 PlayDapp 就損失了 2.9 億美元。

Chainalysis 年度報告也指出，2024 年加密犯罪活動增長顯著，非法地址接收資金達 409 億美元，穩定幣使用率上升，詐騙、勒索軟體與暗網市場成為關注焦點，非法行為日益專業化。

延伸閱讀：
2024加密犯罪額達400億！穩定幣成犯案首選，3大手法要注意

資安專家教 4 招，避免駭客偷走你的幣

區塊鏈暗藏駭客風險，一般用戶、項目團隊要怎麼避免？幾位區塊鏈資安、審計領域的專家，向媒體透露了4招。

第一招：投入前先做功課

Chainalysis 網路犯罪研究負責人 Eric Jardine 表示，由於開源開發的特色，加密協議通常具有公開的透明度，非常適合想要審核項目程式碼是否有問題的用戶，但這也提供不良份子鑽漏洞的機會，因為他們可以分析腳本（Script）中的漏洞，並提前計畫利用它。

Jardine 建議用戶在接觸任何平台、DeFi 項目前要先研究，以了解其安全功能與策略，並從平台上找到有關他們如何增強這些功能的更新。

第二招：確認再確認

Scam Sniffer 的分析報告指出，2023 年有超過 32.4 萬名加密貨幣用戶被網路釣魚詐騙，損失金額達 2.95 億美元。Scam Sniffer 表示，詐騙連結最會藏在社群平台中，並指出惡意網站經常在這些平台下廣告。

Beosin 的安全研究員潘濤也指出，最近在 X（原推特）上偽裝成以太坊質押與空投的釣魚詐騙越來越多，而且也有有詐騙成效。例如，駭客曾在 2 月 25 日入侵了比特幣企業級巨鯨微策略的 X 帳號，並且透過假的空投消息偷走了超過 44 萬美元。

Scam Sniffer 表示，用戶在進入網站或簽署合約前，一定要確認網址是否正確，也要了解你簽下去的合約內容是否安全。

潘濤則警告，被幣圈稱為「排水器」的詐騙手法已成為成熟且方便的網路釣魚工具。駭客通常會在社群上宣傳一個假項目，誘騙投資者簽署合約。

第三招：使用安全的中心化交易所（CEX）

許多新手通常會在中心化交易所上購買第一個加密資產，但也要留意這些交易所是否足夠安全。潘濤指出，市場曾出現多起交易所詐騙案，例如 FTX 挪用用戶資金以及 JPEX 涉嫌詐騙用戶等。

除了詐騙之外，過去也有許多交易所發生駭客事件，例如早期的門頭溝（Mt.Gox）、綠葉（Bitfinex）與幣安（Binance），以及近期的 HTX（前身為火幣）。一般而言，交易所都會補償用戶資產被駭的損失，但如果無法承擔，較惡劣的交易所可能會選擇直接跑路。

潘濤建議，如果用戶要使用中心化交易所投資，第一個重要的標準就是看該交易所是否定期發布資金儲備證明、沒有提款問題或高昂的提款費用，以及客服即時的支援與明確的回應等。

第四招：保護你的私鑰

Chainalysis 的 Eric Jardine 表示， DeFi 項目應確保其安全工作包含區塊鏈內外的漏洞，這些漏洞導致 2023 年大部分的駭客活動。

他建議，項目團隊可以建立系統來監控鏈上活動是否有潛在漏洞，一些公司提供的產品可以對網路攻擊發出警報並做出反應，協助項目團隊確保第三方整合的安全性，並跟可能有風險的客戶交流溝通。

以 2023 年來看，DeFi 項目在安全實踐方面有所改善。相比於前期，2023 年的遭駭金額同比下降了 64% 至 11 億美元。

而對於一般用戶來說，如果要保護私鑰完全不被洩漏，可能要注意非常多細節。區塊鏈資安公司慢霧創辦人余弦指出，有許多駭客案難以知道具體原因，尤其是助記詞/私鑰洩漏事件。鏈上分析是一種推理過程，但是一旦到了鏈下分析的階段，要做的工作就很多了。譬如推測電腦是否中毒了？是否有軟體會採集用戶隱私（包括助記詞）？是否有嚕羊毛瀏覽器/工具會作惡？是否有遠控或代理工具作惡？是否有身邊人作惡？

關於助記詞/私鑰洩漏，慢霧團隊通常會有簡單的推理。譬如有不少人是用手機相簿保存助記詞，而相簿裡的敏感圖片又被惡意 APP 偷走；有些人則是因為在雲端平台帳號中保存助記詞/私鑰，有些人的助記詞則是被駭客用釣魚的方式騙走。

余弦認為，駭客事件似乎並沒有具體的始作俑者，許多人都多少參與了犯罪：

「大數據，數據分析、提取價值部分、監控、資金轉移歸集、洗幣等，都在這些黑色產業鏈裡，有默契地共同運作著。」