新聞 
幣種資訊 
關於我們 
根據區塊鏈資安公司 SlowMist 發布的 2025 年第 3 季報告指出,絕大多數加密貨幣竊案仍與「私鑰」或「助記詞洩漏」有關。該報告統計季度內共發生 317 起加密貨幣遭竊事件,其中大多數源自用戶未妥善保管其「密鑰」資訊。
SlowMist 表示,此次分析是基於旗下資產追蹤服務 MistTrack 所收集的案例。其中僅有 10 起案件成功部分追回資金,追回總額約為 373 萬美元(約折合新台幣 1.5 億元),顯示大部分資金一旦外流便難以追回。
這些駭客攻擊以「基本資訊洩漏」為主,例如使用「預先安裝助記詞」的偽造硬體錢包,或利用「植入恢復資訊」的方式對硬體裝置進行竄改。當使用者將資產存入這類裝置,攻擊者便可立即取得資金控制權。
對此,SlowMist 建議使用者務必透過「官方通路」購買硬體錢包,並於錢包內自行產生「助記詞」,初次使用也應嘗試小額轉帳驗證安全性。同時,官方也提醒需「確認包裝完整性」,避免購買附有「預設恢復卡片」的產品,以降低風險。
報告亦指出,新型詐騙手法日益精密,例如冒用以太坊提案 EIP-7702 標準進行的「委託式釣魚」。使用者在誤以為是合法交易的情況下授權操作,卻不知資產已瞬間轉移至駭客帳戶中。
另一起重大案例則發生在求職過程。駭客透過 LinkedIn 與受害者建立信任後,藉口安裝「攝影鏡頭驅動程式」進而誘導安裝惡意軟體。曾有一名受害者在 Zoom 視訊會議中遭對方透過「操控 Chrome 擴充功能」入侵,最終損失約 1,300 萬美元(約新台幣 4.8 億元)。
傳統網路攻擊依然活躍,如偽裝成 Google 廣告的假儀表板,以及仿冒去中心化金融(DeFi)介面誘導點擊的釣魚網站等,都造成數百萬美元的資金損失。另一示警案例中,駭客透過 Discord 虛假連結冒充 Aave 社群,成功竊取約 120 萬美元(約新台幣 4,000 萬元)資產。
部分攻擊更進一步利用「視覺詐騙」手段,建立看似 CAPTCHA 驗證欄位的惡意輸入框,引導用戶自行複製與執行藏有惡意指令碼的程式,使攻擊者能夠存取用戶的錢包資訊、瀏覽器 Cookie,甚至是「私鑰」。
評論:SlowMist 強調 Web3 安全的核心問題並非高端技術,而是用戶行為的疏忽。使用者只需多花一點時間「確認來源」、「避免盲目點擊」,就能有效阻止許多潛在攻擊。
隨著駭客手法日漸精密,用戶對於自身資產負有更高的「資安自主責任」。若因私鑰管理不善而損失動輒數千萬元,加密貨幣社群與用戶在使用各類工具或參與協議前,必須更加謹慎與提高警覺。
留言 0