區塊鏈借貸平台匹哲科技遭 ShinyHunters 駭侵洩資　On-chain 金融資安與信任風險浮上檯面

根據外媒 TechCrunch 於 13 日（當地時間）的報導，區塊鏈借貸平台「詞 匹哲科技（Figure Technology）」近日遭遇駭客攻擊，導致客戶個資外洩。攻擊者透過鎖定單一員工的「詞 社交工程(social engineering)」手法，竊取內部系統存取權限，並在公司拒絕支付贖金後，將實際客戶資料公布至「詞 暗網(dark web)」，事件引發金融科技與「詞 區塊鏈金融」圈高度關注。

TechCrunch 報導指出，匹哲科技向外界表示，本次事故中只有「詞 少量檔案」遭到未授權存取與外流。公司目前已開始通知受影響的個人與機構，並承諾為收到通知者提供免費「詞 信用監控服務」。不過，匹哲科技並未公開究竟有多少名客戶受害，也未說明首次發現入侵的具體時間與技術細節，讓外界難以評估事件完整規模。

消息指出，本次攻擊由長期活躍於大型資料外洩事件的駭客組織「詞 ShinyHunters（閃獵者）」自稱策劃。該組織在暗網洩漏網站上公布約 2.5GB、自稱來自匹哲科技內部的資料，並宣稱由於公司拒絕支付贖金，因此決定將資料完全公開。

TechCrunch 進一步檢視樣本檔案後發現，外洩資訊包含客戶「姓名、住家地址、出生年月日、電話號碼」等關鍵個資。這種資訊組合足以被用於「詞 身分盜用」、「詞 金融詐騙」與「詞 精準網路釣魚攻擊」，安全專家憂心，後續可能出現連鎖型二次犯罪，影響範圍恐遠超出當前已知對象。

「評論」：從駭客行為模式來看，ShinyHunters 此次再度採取「先滲透、再勒索、遭拒後全量洩漏」的典型雙重勒索路線，也顯示金融與區塊鏈相關公司已成其優先鎖定的高價標的。

在「詞 連鎖金融(on-chain finance)」與「詞 DeFi」產業內，安全分析人士普遍將此案視為明確警訊：即便企業主打區塊鏈基礎設施與高標準技術安全，只要「人員管理」與「內部控管」環節存在縫隙，仍難以抵禦以員工為目標的社交工程攻擊。尤其持有大量「詞 KYC 客戶身份資料」的業者，只要發生一次入侵，就可能為受害者帶來多年無法完全消除的身分風險。

另一方面，整體「詞 加密貨幣」市場近期在釣魚攻擊與錢包盜竊面向，雖呈現數據上的降溫，但威脅本身並未消失。根據 Web3 安全公司「詞 Scam Sniffer」研究團隊資料，與各類「詞 錢包抽乾工具(wallet drainer)」相關的加密貨幣釣魚攻擊損失，已從 2024 年約 4 億 9,400 萬美元（約新台幣 713.5 億元），降至 2025 年約 8,385 萬美元（約新台幣 121.1 億元），跌幅約 83%。在以太坊虛擬機（詞 EVM）生態中，受害人數也比 2024 年減少約 68%，回落到約 10 萬 6,000 名。

但研究人員強調，數字減少並不代表「詞 威脅終結」。從鏈上交易數據來看，釣魚與詐騙損失與整體市場活躍度高度連動。2025 年第 3 季，在「詞 以太幣(ETH)」走強、鏈上活動熱絡的階段，單季仍出現約 3,100 萬美元（約新台幣 44.8 億元）的損失。2025 年各月份的釣魚相關損失則在 204 萬美元（約新台幣 2.9 億元）到 1,217 萬美元（約新台幣 17.6 億元）之間劇烈波動。

「評論」：這組數據顯示，攻擊者愈來愈像「順勢交易者」，在行情冷淡時收斂活動，一旦價格與交易量放大，又會快速回到市場。未來的風險，可能從「大量小額釣魚」轉向「少量高額攻擊」，或者更多改以鎖定像匹哲科技這樣，手握龐大集中式客戶資料庫的中心化服務提供者。

匹哲科技本身是於 2025 年 9 月在那斯達克(Nasdaq)掛牌的區塊鏈金融科技公司。上市時的公開發行價格為每股 25 美元（約新台幣 3.6 萬元），募資金額約 7 億 8,750 萬美元（約新台幣 1,138.3 億元），以該價格估算，當時公司整體估值約落在 53 億至 76 億美元（約新台幣 765.7 億至 1,107 億元）區間。

該公司長期主打「詞 自有區塊鏈 Provenance」作為金融服務底層基礎，將「詞 借貸」、「詞 資產證券化」等產品搬上鏈運作。特別是在上個月，匹哲科技推出「詞 Onchain Public Equity Network（OPEN）」平台，標榜企業可於鏈上直接發行實際股票，投資人之間則能在無需傳統「券商」、「託管機構」與「集中交易所」的情況下，將股票作為「詞 抵押品」進行借貸或融券，有望成為連接傳統資本市場與「詞 On-chain 金融」的重要實驗場。

外界原本視 OPEN 為推進「詞 代幣化證券」、「詞 連鎖股票交易」的關鍵案例，但本次個資外洩事件，等同正面碰觸監管機構與機構投資人最敏感的兩大議題——「詞 信任」與「詞 資安」。未來在監理溝通過程中，匹哲科技及類似平台勢必面臨更嚴苛的「詞 資料保護」、「詞 隱私合規」與「詞 網路防護」審查。

從產業層面來看，匹哲科技遭駭一事再次凸顯：即便是標榜「詞 去中心化技術」的借貸與證券化平台，在成長過程中，真正最薄弱的一環往往仍是「詞 鏈下(off-chain)資料」與「詞 人員管理」。只要仍採用集中式客戶資料庫與傳統員工帳號權限系統，其承擔的本質風險與一般金融機構並無太大差別。

市場觀察人士預期，本次事件不僅會牽動匹哲科技本身，也將對正在布局「詞 On-chain 證券」、「詞 真實世界資產代幣化(RWA)」的其他專案產生示範效應。在全球個資與隱私監管持續趨嚴的背景下，「詞 區塊鏈創新」與「詞 資料安全/隱私保護」之間如何取得平衡，很可能成為未來「詞 On-chain 金融」能否擴大採用與維持信任的關鍵門檻。