以太坊安全性及詐騙防範
隨著人們對加密貨幣的興趣不斷增長,在使用加密貨幣時學習最佳實務作法,變得非常重要。 加密貨幣雖然很有趣、令人感到興奮,但也存在重大風險。 事前稍微做點功课,將能降低這些風險。
網路安全基本入門
使用強式密碼
80%以上被駭客攻擊的帳戶,都由於密碼不够强或密码被盜用(opens in a new tab)。 字元、數字和符號的長串組合機制,最能確保帳戶安全。
一個常犯的錯誤是合併使用兩三個常見且相關的字詞。 這種密碼不安全,因為容易被字典攻擊法(opens in a new tab)這種簡單的駭客技術所攻擊。
弱密碼範例:CuteFluffyKittens!
強式密碼範例:ymv\*azu.EAC8eyp8umf
另一個常見的錯誤是使用容易透過社交工程(opens in a new tab)猜中或發現的密碼。 在密碼中使用母親娘家姓、子女或寵物的名字或出生日期,都是不安全的做法,會增加密碼遭駭的風險。
良好密碼實務:
- 只要密碼產生器或填寫的表單允許,密碼越長越好
- 混用大小寫字母、數字及符號
- 別在密碼中加入個人細節,例如姓氏
- 避免使用常見的用詞
更多建立強式密碼的相關資訊(opens in a new tab)
各帳戶使用不同的密碼
如果資料外洩,強式密碼無法提供應有的保護性。 Have I Been Pwned(opens in a new tab) 網站能讓你根據其資料庫,查看你的帳戶是否涉入任何資料外洩事件。 如果涉入其中,應立即更換密碼。 各帳戶使用不同的密碼時,即使一個密碼被破解,也較不會被駭客存取所有帳戶。
使用密碼管理器
記住每個帳戶獨一的強式密碼,並不是最理想的方式。 密碼管理員為你所有的密碼提供一個安全的加密儲存位置,只要透過一個強效的主密碼就能取用。 註冊新的服務時,密碼管理器也會自行建議強式密碼,無需自己建立。 許多密碼管理器也會告知你是否涉入資料外洩事件,方便提早更換密碼,以免遭受惡意攻擊。
試試密碼管理員:
- Bitwarden(opens in a new tab)
- KeePass(opens in a new tab)
- 1Password(opens in a new tab)
- 或查看其他推薦的密碼管理員(opens in a new tab)
使用雙因素驗證
要驗證你就是使用者本人,有幾種獨特的證明方式可用。 這些就是所謂的因素,主要有三種因素:
- 你知道的資料(例如密碼或安全性問題)
- 你的身份(例如指紋,或虹膜或臉部掃描器)
- 你擁有之物(安全金鑰,或手機上的驗證應用程式)
使用雙因素驗證 (2FA) 時,線上帳戶會多獲得一組安全性因素,因此,你認識的人光是知道你的密碼,仍無法存取帳戶。 最常見的是,第二組因素是一個隨機的 6 位數代碼,稱為基於時間的一次性密碼 (TOTP),可透過 Google authenticator 或 Authy 等驗證工具應用程式來取得。 這些因素取材自「你擁有之物」,因為產生定時碼的種子,儲存在你的裝置上。
安全金鑰
想進一步使用雙因素驗證的人,考慮使用安全金鑰。 安全金鑰是一種實體硬體驗證裝置,運作方式與驗證工具應用程式相同。 使用安全金鑰是雙因素驗證最安全的方式。 許多這些金鑰都使用 FIDO 通用第二因素 (U2F) 標準。 深入了解 FIDO U2F(opens in a new tab)。
觀賞影片,深入了解雙因素驗證:
解除安裝瀏覽器擴充功能
Chrome 擴充功能或 Firefox 附加元件等瀏覽器擴充功能,能增強瀏覽器實用功能並改善使用體驗,但也存在風險。 大多數瀏覽器擴充功能,皆預設請求「讀取和變更網站資料」的存取權限,如此一來,其幾乎能對你的資料為所欲為。 Chrome 擴充功能總會自動更新,因此原本安全的擴充元件,之後可能會更新並加入惡意程式碼。 多數瀏覽器擴充功能都不會試圖竊取你的資料,但你應該知道它是辦得到的。
使用以下方式維持安全性:
- 安裝瀏覽器擴充功能時,只接受信任的來源
- 移除不使用的瀏覽器擴充功能
- 在本機安裝 Chrome 擴充功能,以停止自動更新(進階)
更多瀏覽器擴充功能風險的相關資訊(opens in a new tab)
加密貨幣安全性基本入門
提升你的知識
人們在加密貨幣方面受騙上當,其中一個頭號原因就是缺乏暸解。 例如,如果你不了解以太坊網路為去中心化、非任何人所有,當有人偽裝成客服人員承諾返還你遺失的以太幣,藉機索取你的私密金鑰,便很容易落入圈套。 增加對以太坊運作方式的知識,是一項很值得的投資。
錢包安全性
不要洩露你的私密金鑰
無論任何原因,絕對不要分享私密金鑰!
錢包的私密金鑰,就如同開啟以太坊錢包的密碼。 這是唯一阻止別人從你的錢包地址提領所有帳戶資產的方法!
不要拍攝你的種子助記詞/私密金鑰的螢幕擷取畫面
拍下種子助記詞或私密金鑰的螢幕擷取畫面,有同步到雲端上的風險,可能為駭客開方便之門。 從雲端獲取私密金鑰是駭客常用的攻擊手法。
使用硬體錢包
硬體錢包讓人能離線儲存私密金鑰。 硬體錢包被視為儲存私密金鑰最安全的錢包選擇:私密金鑰永不連網且完全儲存在本機裝置上。
讓私密金鑰保持在離線狀態,即使駭客掌握你的電腦,也能大幅減少駭客入侵的風險。
試試硬體錢包:
發送交易前仔細檢查
不小心將加密貨幣發送到錯誤的錢包地址是一種常見錯誤。 在以太坊上發送的交易是不可逆的。除非你認識地址所有者並能說服他們把你的資金退回來,否則你將沒有辦法找回你的資金。
發送交易之前,務必確保發送的地址與接收人的地址完全匹配。 此外,與智慧型合約進行互動時,建議在簽名前閱讀交易訊息。
設定智慧型合約支出限額
與智慧型合約進行互動時,不允許無支出限額。 若無支出限額,智慧型合約將能掏空你的錢包。 相反,將支出限額僅設定為交易需要的金額。
許多以太坊錢包提供限額保護,以防止帳戶被掏空。
常見的詐騙手法
詐騙者總是想方設法從你身上騙走你的資金。 完全阻止詐騙者是不可能的,但若曉得其大多數採用的技術,能降低其成功率。 雖然騙局層出不窮,但通常本質相同。 唯一的應對方法是,請記住:
- 始終保持懷疑態度
- 沒有人會給你免費或打折的以太幣
- 沒有人需要獲取你的私密金鑰或個人資訊
贈獎詐騙
加密貨幣中最常見的騙局之一是贈獎詐騙。 贈獎詐騙有多種形式,但一般前提是,如果你將以太幣發送到所提供的錢包地址,你將會收到雙倍的以太幣。 因此,它也稱為買一送一詐騙。
這些騙局通常規定了領取贈獎的有限時間,促使人作出錯誤的決策並製造一種虛假的緊迫感。
社交媒體駭客攻擊
最出名的一次發生在 2020 年 7 月,當時很多知名人士和組織的 Twitter 帳戶被破解。 駭客同一時間使用被盜的帳戶發布了比特幣贈送活動。 雖然這些欺騙性推文很快被察覺並且刪除,但駭客仍僥倖逃脫,取走 11 個比特幣(或截至 2021 年 9 月的 500,000 美元)。
名人贈獎活動
名人贈獎活動是贈獎詐騙的另一種常見形式。 詐騙者會錄製名人的採訪影片或會議演講,並在 YouTube 上進行直播 — 看起來好像名人正在接受直播採訪影片,支援加密貨幣贈送活動。
這類騙局中最常使用的是 Vitalik Buterin,但是也使用了加密貨幣相關的許多其他知名人士(例如 Elon Musk 或 Charles Hoskinson)。 在直播中加入知名人士,會讓騙局看起來感覺合法(雖然值得懷疑,但有 Vitalik 參與,肯定沒問題!)。
贈獎活動從來都是一場騙局。 如果你把資金轉到這些帳戶,永遠要不回來。
支援服務騙局
加密貨幣是一種相對年輕且被誤解的技術。 有一種常見的騙局就是利用這一點,稱為支援服務騙局,詐騙者針對受歡迎的加密貨幣錢包、交易所或區塊鏈,冒充成支援人員。
許多關於以太坊的討論,都在 Discord 上發生。 支援服務詐騙者發掘下手目標的方式,通常是在公開的 Discord 頻道中搜尋支援問題,然後向詢問者發送提供支援服務的私人訊息。 詐騙者會建立信任,試圖誘使你透露私密金鑰或將資金發送到他們的錢包。
一般來說,員工絕不會透過非官方私人管道與你交流。 處理支援事宜時,記住幾個簡單的要點:
- 永遠不要分享私密金鑰、種子助記詞或密碼
- 絕不允許任何人遠端存取你的電腦
- 切勿以非官方指定管道來交流
「以太坊 2」代幣騙局
在合併的準備階段,詐騙者曾試圖利用「以太坊 2」這個詞製造混淆,讓使用者將以太幣兌換成「以太坊 2」代幣。 但根本沒有所謂的「以太坊 2」,合併後也未導入任何其他合法代幣。 合併前擁有的以太幣,和現在是同一個以太幣。 從工作量證明過渡到權益證明,無需採取任何與以太幣有關措施進行相應的說明。
詐騙者可能會佯裝成「支援團隊」,告訴你如果存入以太幣,將會收到「以太坊 2」代幣。 其實並沒有以太坊官方支援團隊,也沒有新的代幣。 切勿和任何人分享錢包的種子助記詞。
注意:有些衍生的代幣/行情指示器可能代表被質押的以太幣(即 Rocket Pool 的 rETH、Lido 的 stETH、Coinbase 的 ETH2),但這些都不需要「遷移過去」。
網路钓鱼詐騙
網路钓鱼詐騙是另一種越來越常見的詐騙手段,詐騙者會利用它試圖竊取錢包中的資金。
一些網路釣魚電子郵件要求使用者點選連結,將其重新定向至仿冒的網站,要求他們輸入種子助記詞、重設密碼或發送以太幣。 有些可能會要求你在不知情的情況下安裝惡意軟體,使電腦被感染,並使詐騙者能存取你的電腦文件。
如果你收到來歷不明的電子郵件,請記住:
- 對於不認識的電子郵件地址,切勿打開當中的連結或附件
- 切勿向任何人洩露你的個人資訊或密碼
- 刪除來路不明的電子郵件
更多避免網路釣魚詐騙的相關資訊(opens in a new tab)
加密貨幣交易經紀人詐騙
這些假冒加密貨幣交易經紀人自稱是專業的加密貨幣經紀人,他們會提議收取金錢,代表你投資。 這種提議通常伴隨著回報承諾,但這些回報不切實際。 詐騙者收到錢後可能會誘導你,要你拿出更多資金以免錯過更多投資收益,他們也可能完全銷聲匿跡。
這些假冒經紀人在 YouTube 上利用假帳戶找到下手的目標,開始談論經紀人方面的內容,且似乎令人不疑有他。 這些對話通常會有很多按讚數,以增加真實性,但都是來自機器人帳戶。
別相信網路上的陌生人、讓他們代你投資。 你的加密貨幣將付諸東流。
加密礦池詐騙
2022 年 9 月起,已再也無法在以太坊上挖礦。 但是,礦池騙局仍然存在。 礦池騙局中,有人會主動聯繫你,聲稱加入以太坊礦池就能獲得豐厚的回報。 詐騙者會提出要求,並一直與你保持聯繫,不善罷甘休。 基本上,詐騙者會試圖讓你相信,當你加入以太坊礦池時,你的加密貨幣將用來建立以太幣,你將以以太幣的形式獲得紅利。 但你的加密貨幣結果只能獲得微薄的回報。 這只是為了引誘你投入更多的資金。 最終,所有資金會傳送到不明的地址,詐騙者要嘛人間蒸發,要嘛在某些情況下繼續保持聯繫,就像最近一個案例一樣。
務必提防那些在社交媒體上與你聯繫、請你加入礦池的人。 一旦失去加密貨幣,就永遠回不來了。
牢記以下幾件事:
- 警惕任何與你聯繫、談及如何使用加密貨幣賺錢的人
- 針對質押、流動性池或其他加密貨幣投資方式做做功課
- 這種方式即使是合法的,也非常少見。 否則可能早就成為主流、為人所知。
有人在礦池騙局中損失了 20 萬美元(opens in a new tab)
空投騙局
空投騙局是指詐騙者設局將某個資產(非同質化代幣、代幣),空投到你的錢包裡,然後發送一個詐騙性網站,讓你取得這些空投的資產。 當你嘗試領取資產,會提示你使用自己的以太坊錢包登入,並「核准」一筆交易。 但這筆交易會損害你的帳戶,將公開金鑰和私密金鑰都傳送給詐騙者。 另一種形式,可能是請你確認一筆能將資金轉移到詐騙者帳戶的交易。
更多空投騙局相關資訊(opens in a new tab)
衍生閱讀
網路安全
- 高達 3 百萬台裝置被含有惡意軟體的 Chrome 與 Edge 附加元件所感染(opens in a new tab) - Dan Goodin
- 如何建立一個永遠記得住的強式密碼(opens in a new tab) - AVG
- 什麼是安全金鑰?(opens in a new tab) - Coinbase
加密貨幣安全
- 保護自己,保護資金(opens in a new tab) - MyCrypto
- 幣圈通訊軟體之共同資安問題(opens in a new tab) - Salus
- 全民必修安全指南(opens in a new tab) - MyCrypto
- 加密貨幣安全性:密碼與驗證(opens in a new tab) - Andreas M. Antonopoulos
防詐騙指引
- 指南:如何識別詐騙性代幣
- 保障安全:常見騙局(opens in a new tab) - MyCrypto
- 防範詐騙(opens in a new tab) - Bitcoin.org
- 從 Twitter 對話一探常見的加密貨幣網路釣魚電郵與訊息(opens in a new tab) - Taylor Monahan