新聞 
幣種資訊 
關於我們 
XRP 分散帳本「XRP Ledger(XRPL)」近期出現利用「偽造 NFT Pass」誘騙用戶的「新型詐騙」,攻擊者並非透過技術入侵,而是鎖定使用者一個不經意的「誤點」行為,屬於典型的社交工程手法,令「XRP 社群」警戒升溫。這類詐騙會以「NFT」、「通行證(Pass)」、「空投」等關鍵字作為誘餌,實際目的是讓用戶主動簽署不利交易。
根據 XRP 社群代表性錢包「Xaman」開發者比埃切·溫德(Wietse Wind)於近期在 X 平台上的說明,他嚴正表示自己與團隊「不會發放任何形式的 Pass 或 NFT」,並多次提醒用戶提高警覺。溫德指出,只要錢包中莫名出現「Pass 發送」、「NFT 空投」等相關資產或訊息,幾乎可以判定這不是正常活動,而是詐騙組織佈下的陷阱。
這波詐騙的關鍵在於,攻擊者會「主動把 NFT 傳送到用戶錢包」,之後靜待持有人對該 NFT 所附帶的「提案(Offer)」做出回應。一旦使用者點擊接受提案或簽署交易,看似是合理的資產交換,實際上卻可能是「拿有價值的代幣去換取一文不值甚至具惡意的代幣」。溫德評論,這種模式本質上是「丟出一筆明顯不公平的交易,只等有人自己走進圈套」。
多位區塊鏈安全觀察者也強調,此事件「與 XRPL 協議本身的技術漏洞或被駭並無直接關聯」,問題出在「使用者行為」而非「底層系統」。他們建議,若在錢包中看到來源不明、從未預期會收到的 NFT 或代幣,應立刻視為「紅色警示」,對相關項目「不要點擊、不要簽署、不要連結」,避免產生任何互動。溫德進一步指出,就算透過修改 NFT 標準或程式碼,也難以完全消除這類社交工程攻擊,因為真正的弱點在於人性與操作流程。
為降低受害風險,溫德也給出具體實務操作建議。他說明,使用「Xaman 錢包」的用戶,可以進入「Events」與「Requests」兩個選單,找到所有「可疑提案」,然後直接按下「Cancel」進行取消。溫德表示,只要使用者完全「忽視」這些詐騙提案、不進行任何簽名或互動,基本不會導致資金損失;但為了消除心理負擔與潛在風險,「及時取消可疑提案」仍是最穩妥的做法。
社群中也陸續出現實際受害或被鎖定的案例分享。一名在 X 上以「Crypto Analytics」名義活動的區塊鏈用戶公開表示,他在「Bithomp 錢包」中收到了類似的詐騙提案。根據他的說法,XRPL Labs 團隊目前已針對相關 NFT 提案加註「詐騙」標記,為用戶提供額外風險提示,提醒大家在操作前再次確認。
此次事件再次突顯,「NFT 被發送到錢包本身不一定造成損失」,真正的風險往往出現在隨後的「接受提案」與「簽署交易」環節。隨著包括「XRP 分散帳本」在內的整體「加密貨幣市場」中,社交工程型詐騙手法愈發精細,如何在社群內快速分享最新詐騙手法資訊,以及持續落實基礎安全守則,將成為降低用戶損失的關鍵。
評論:
這類「偽 NFT Pass」攻擊,本質上是利用用戶對「免費空投」、「限量通行證」的貪小便宜心理與 FOMO 情緒。從防禦角度來看,錢包與基礎設施提供者(如 XRPL Labs)除了在介面上加強「高風險提案標示」外,也應透過預設警告、風險分級、教育內容整合等方式,幫助一般用戶在「簽名前的最後一秒」多想一下。此外,對於習慣頻繁操作 DeFi、NFT 的使用者來說,定期檢查錢包中的「未知代幣」與「未處理提案」,以及養成「不認識就不互動」的習慣,正逐漸成為和硬體錢包一樣重要的安全標準配置。
留言 0