作者ccbbaa (幻呱呱)
看板DigiCurrency
標題[新聞] 90萬積蓄全沒了!他玩虛擬貨幣慘遭駭客入
時間Thu Dec 2 12:32:22 2021
https://udn.com/news/story/121591/5930339
90萬積蓄全沒了!他玩虛擬貨幣慘遭駭客入侵 「兩疏失」血本無歸
2021-12-01 17:36 聯合新聞網 / 綜合報導
近兩年來比特幣價格水漲船高,不少民眾想靠虛擬貨幣翻身,卻容易忽視了其背後包括匿
名性、跨國性等衍生出的高風險。一名25歲網友在臉書分享自身慘痛經驗,表示接觸虛擬
貨幣近一年,日前卻遭駭客入侵,市值達90萬的積蓄一夕全沒了,也提出自己在投資上的
疏失,以此警示所有投資人。
原PO在臉書社團「爆料公社二社」發文表示,自己日前在使用 MetaMask 錢包(俗稱「小
狐狸錢包」,為儲存虛擬貨幣的線上錢包)遭駭客入侵,由於加密貨幣是浮動的,詳細金
額難以估計,恐造成70至90萬元的損失。
原PO表示,自己平時非常警惕,不隨意進入釣魚網站、電腦定期掃毒等,但某天卻發現錢
包中的加密貨幣遭駭客轉為他種虛擬貨幣、以不同網站分兩筆匯出。原PO事後反省認為犯
了兩疏失:一、把所有錢都統一放在一個籃子(意指錢包);二、沒有使用硬錢包(冷錢
包)儲存虛擬貨幣,也發現國外早有許多網友發生過同樣案例。
然而託管貨幣的線上錢包僅需12個英文字母即可登入,在 MetaMask 登入及轉帳也不會留
下任何IP,因此原PO可能求助無門,找回這筆積蓄的機率極低。
根據《維基百科》介紹,隨虛擬貨幣蓬勃發展,因應不同的使用情況也發展出不同類型的
錢包,常見可分為「熱錢包」(線上錢包)及「冷錢包」(離線錢包)兩種類。熱錢包可
將虛擬資產儲存於瀏覽器、手機APP上,雖然方便性高、容易操作,安全性卻較低;冷錢
包則需藉由類似USB的硬體設備儲存虛擬資產,只有進行交易時才會連網,大大增加了其
安全性,但較不方便操作,且硬體本身價格也不低。
評論:
蝦皮一堆賣冷錢包的有沒有危險性阿...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.35.191.26 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/DigiCurrency/M.1638419545.A.1A1.html
1F:→ jehovah: 意思是狐狸錢包有資安漏洞? 12/02 12:41
2F:推 Wadient: 應該是被鍵盤側錄吧 12/02 12:41
3F:→ CrackedVoice: 天知道是不是某天連上釣魚網站自己沒注意 12/02 12:43
4F:推 creepy: 搞半天 交易所錢包最安全 還有2FA 12/02 12:46
5F:推 Wadient: 交易所最大風險就是倒閉,但是會一群人陪你一起 12/02 12:47
6F:推 a2007535: 他這個是自己上了釣魚網站 按了approve才被領光的 12/02 12:47
7F:推 bluefancy: 我也都這樣用而已,確認權限前都要看一下 12/02 12:47
8F:→ creepy: 財產分coinbase ftx 幣安 max 幣託 五家存放 總不會全爆炸 12/02 12:47
9F:推 wtl: 雞蛋不要放在同一個籃子 交易所硬體錢包各放一些 12/02 12:57
10F:推 aspirev3: 大幣長HOLD 分幾家交易所放+1 小幣才用狐狸 12/02 13:00
11F:推 musicfreshma: 怕.jpg 12/02 13:01
12F:推 minikai: 主要是他沒用冷錢包啊 12/02 13:04
13F:推 xichen0326: 再approve啊 12/02 13:11
14F:推 aixiiae2005: 出金/轉移都要OTP或驗證碼(auth/email) 請問怎麼盜的 12/02 13:17
15F:推 yys310: 樓上這是metamask 12/02 13:23
16F:推 TellthEtRee: 去年小狐狸有山寨的google插件 12/02 13:26
17F:推 aixiiae2005: 懂了..結果放交易所還真的比較安全= = 分散放 12/02 13:38
18F:→ aixiiae2005: 前幾大的 12/02 13:39
19F:推 Secret69: 我自己是放幣的官方錢包裡== 12/02 13:39
20F:推 mickl8101: 買coolwallet 來放應該安全吧? 12/02 13:46
21F:推 Qidu: 90又不是什麼大錢 12/02 13:47
22F:推 creepy: 用離線錢包真的要知道自己在幹嘛 要不然很容易被盜 中木馬 12/02 13:49
23F:推 zoinsung: 買冷錢包 你怎麼知道廠商有沒有備份你的隨機亂數 12/02 14:09
24F:→ Boom3: 樓上是被害妄想? 12/02 14:11
25F:推 XX: 我是覺得 操作錢包 可以選一台乾淨的電腦 只單純操作幣 12/02 14:13
26F:→ XX: 然後別亂點網站...蠻多人錢包中釣魚網站被木馬駭的 12/02 14:13
27F:→ XX: 常用工具網站直接官網存起來 要用直接點 12/02 14:13
28F:→ XX: 用搜尋的 可能前幾個有機會跳出假的 網址要再三確認== 12/02 14:14
29F:推 fantasy1024: 真要安全還是自己寫冷錢包吧 存USB用樹莓派離線簽 12/02 14:18
30F:推 eipduolc: 我現在是比較想知道交易所錢包的風險XD 12/02 14:29
31F:推 louisxxiii: 90也算是很有感的金額吧 還是會痛的 12/02 14:34
32F:→ louisxxiii: 放交易所搞不好都比錢包安全 當然不比冷錢包啦 12/02 14:35
33F:推 newdawn1106: 擔心交易所就儘量用前幾大的交易所吧相對安全,倒了 12/02 14:36
34F:→ newdawn1106: 也有人陪 XD 12/02 14:36
35F:推 yys310: 備份亂數urrr 會怕自己擲骰子阿== 12/02 15:02
36F:推 creepy: 冷錢包也有客戶名單流出 引導到木馬網站的前例 非妄想 12/02 15:03
37F:→ creepy: 最安全還是用錢包生成工具 拔掉網路頭關掉wifi 完成後直接 12/02 15:04
38F:→ creepy: 摧毀作業系統 12/02 15:04
39F:推 XX: 全球最大交易所版上都不推ZZZzzz 人家還成為華人首富 12/02 15:05
40F:推 wtl: 用冷錢包產生的註記詞可以在加一個自己設的passphrase 可以設 12/02 15:06
41F:→ wtl: 特殊字元 就算硬體有備份也猜不到你自己設的passphrase 12/02 15:07
42F:推 doomsday0728: 都不安全,分散風險才是對的,反正創錢包又不用錢 12/02 15:08
43F:推 qw5526259: 用冷錢包,電腦、手機中毒、駭客入侵,也沒關係,只要 12/02 15:08
44F:→ qw5526259: 你SOP作好,就沒事。這就是為何要買冷錢包~~~ 12/02 15:09
45F:→ Asasin: 去中心化代表自己要有保護資產的能力 12/02 15:43
46F:推 SamuelLuo: 什麼12個英文字母,英文單字啦!助記詞稍微研究一下 12/02 15:53
47F:→ SamuelLuo: 有90萬還不研究冷錢包,這個是沒有風險管控意識 12/02 15:53
48F:推 mithuang: 自己寫冷錢包怎麼知道compiler有沒有被埋後門,建議要操 12/02 16:00
49F:→ mithuang: 作錢包的時候用紙筆把簽名算出來再key到電腦廣播出去 12/02 16:00
50F:推 Rocker5566: 2fa 還會有風險嗎 連手機都被盜? 12/02 16:34
51F:推 DarkerDuck: 2FA假如用Email和簡訊的話都有被盜的可能 12/02 16:36
52F:→ DarkerDuck: 用Google Autheticator又回到私鑰不要外流 12/02 16:37
54F:→ DarkerDuck: 交易所最大的風險還是倒閉與封帳,封提款 12/02 16:38
55F:→ DarkerDuck: 用DeFi本來就要有比用CeFi更高的資安意識 12/02 16:40
56F:→ DarkerDuck: 因為用DeFi就算用硬體錢包結果亂授權合約還是一樣被盜 12/02 16:40
57F:→ DarkerDuck: 基本上只要錢包地址被授權智能合約就不能再視為冷錢包 12/02 16:40
58F:推 cat654231: 原本用MEW最近也買了兩個冷錢包 12/02 17:17
59F:推 cat654231: 不放交易所錢包 之前幣寶真的傻眼 12/02 17:21
60F:推 yys310: 簽過合約就可能外露私鑰了嗎? 12/02 17:31
61F:推 frrr: 私鑰不可能外露,簽合約只有可能把權限全給了別人 12/02 18:07
63F:推 SamuelLuo: 了解了,硬體錢包永遠不要玩Defi,幸好我都是分開放 12/02 18:54
64F:→ SamuelLuo: 硬體錢包是拿來HODL一輩子的 12/02 18:54
65F:→ DarkerDuck: 智能合約的複雜性非一般人可以驗證的 12/02 19:10
66F:→ DarkerDuck: 甚至很多通過審計的智能合約也是被駭 12/02 19:11
67F:→ DarkerDuck: 所以我認為相信智能合約授權跟丟CeFi風險性差不多 12/02 19:12
68F:推 fiiox3: 智能合約風險更高吧,開發者隨時都能跑路,找都找不到 12/02 19:15
69F:→ DarkerDuck: 你認為交易所就找得到?幣安的總部到現在還沒人找到ㄝ 12/02 19:16
71F:→ DarkerDuck: 應該不會兩個月就蓋好總部了吧 12/02 19:18
72F:推 buddy123: 請問像Ledger這種硬件錢包玩Defi還是有可能被駭嗎? 12/02 19:18
73F:→ DarkerDuck: 至於那個幣寶,繼續丟給日本人裝死中 12/02 19:18
74F:→ DarkerDuck: 無論用哪一種錢包,要看清楚智能合約授權的類型 12/02 19:20
75F:→ DarkerDuck: 並不會因為你用硬體錢包授權就無效了,那誰要用 12/02 19:20
76F:→ buddy123: 了解,授權要看清楚才可以按,謝謝大大 12/02 19:24
77F:→ DarkerDuck: 就算是用硬體錢包,授權到釣魚網站的智能合約照樣有效 12/02 19:24
78F:→ DarkerDuck: 很常見的就是釣魚亂空頭token,然後導到釣魚網站 12/02 19:25
79F:→ cp296633: defi網站要注意域名 別被釣了 不然就從defillama找項目 12/02 19:54
80F:→ cp296633: 在加到我的最愛 12/02 19:54
81F:推 mic138465: 昨天看過他的錢包地址,他明明就授權一些奇怪的東西... 12/02 20:04
82F:→ mic138465: . 12/02 20:04
83F:→ mic138465: 還說他沒亂碰 12/02 20:04
84F:推 Bujo: 自己人偷的吧 12/02 20:06
85F:推 fiiox3: 至少知道CZ是誰,defi一堆開發者連臉長啥樣都看不到 12/02 20:28
86F:→ fiiox3: 連打官司的機會都沒有 12/02 20:28
87F:→ DarkerDuck: DeFi的確很多匿名開發者,隨便亂丟只會被rug pull 12/02 20:30
88F:推 Realperson: 邏輯怪怪,定期掃毒感覺重視資安,卻沒有想到要用冷 12/02 23:11
89F:→ Realperson: 錢包? 12/02 23:11
90F:→ Crimson1014: 不管看了多少被偷的案列 最後看到的結果幾乎都是自 12/03 00:20
91F:→ Crimson1014: 己亂授權 熱冷硬體都一樣被偷光光 12/03 00:20
92F:推 john371911: 因電信業者的SMS 2FA被駭,電信業者沒被告、要賠償嗎? 12/03 00:23
93F:推 ea610125: 貪心亂授權,天天想要暴富 只能說活該 12/03 03:41
94F:推 seal46825: 用熱錢包感覺不如放幣安 12/03 12:34
95F:→ wr: 就看你覺得幣安倒閉跟電腦壞掉誰的發生機率高了 12/03 15:10
96F:推 glory5566: 我就買點幣安幣放幣安就好 12/05 11:23